Los investigadores de Trend Micro dicen que han descubierto una nueva familia de puerta trasera que se está instalando actualmente utilizan exploits Java entregados a través de las descargas o en los sitios web comprometidos.
La nueva familia de puerta trasera ha sido nombrado BLYPT por Trend Micro, debido a su uso de objetos binarios grandes (BLOB ) almacenados en el registro , así como encriptación.
Según la empresa de seguridad, BLYPT permite a un atacante enviar comandos a un sistema afectado , tales como:
- Recibir actualización binaria DLL
- Recibir configuración actualizada
- Recibir una demanda de comandos HTTP , como GET Enviar a http://103.31.186.19:1000/FetchIP.aspx para recuperar IP pública de la máquina afectada
"En uno de los casos , encontramos un exploit Java que se ha utilizado para difundir este ataque . Este exploit en particular , detectado como JAVA_EXPLOYT.HI , puede ser utilizado para ejecutar código arbitrario , " Maharlito Aquino de Trend Micro señaló en un blog . " Se aprovecha de una vulnerabilidad , CVE - 2013-1493 , que ha sido explotado desde febrero de 2013. Se parcheado en marzo pero sigue siendo explotado".
Según Maharlito, el exploit se utiliza para descargar un instalador , que a continuación, descarga e instala el componente principal BLYPT en el sistema afectado.
" Se llama logo64.png logo32.pngor , dependiendo de si el usuario está ejecutando una versión de 32 bits o de 64 bits de Windows , respectivamente ", explicó Maharlito . " El programa de instalación intenta conectarse a tres servidores cada 3 segundos, hasta que se descarga correctamente el componente de puerta trasera. Si falla, se volverá a intentar hasta 32 veces antes de que se da por vencido ".
El instalador también fue desarrollado para proporcionar información instantánea sobre el estado de la instalación accediendo a una URL en un servidor malicioso , que sirve como un informe de estado.
Trend Micro dijo que ha identificado dos variantes BLYPT , que pueden ser identificadas basándose en el nombre de archivo utilizado para guardar el componente principal BLYPT . Ambas variantes tienen 32 - y las versiones de 64 bits , y su comportamiento es casi idénticas , aunque la ubicación donde se almacena la información del servidor de C & C es diferente.
Ambas variantes cifrar sus datos mediante alegado ( arc4 ) y el uso de "http://microsoft.com" como la clave de descifrado,
Más detalles de Trend Micro están disponibles aquí en el blog oficial.
Comentarios
Publicar un comentario