ElFiesta. Reclutamiento zombi a través de múltiples amenazas
ElFiesta es otro integrante de la familia de aplicaciones web, creada por desarrolladores rusos y puesta a disposición de los ciber-delincuentes, que permiten no sólo controlar y administrar cada una de las computadoras infectadas que forman parte de su red (zombis) sino que también ejecutar ataques vía web a través de diferentes técnicas que involucran la explotación de vulnerabilidades.
Uno de los módulos de ElFiesta posee como objetivo precisamente la propagación/infección a través de archivos PDF (Portable Document Format) que buscan vulnerabilidades en algunas versiones de Adobe Acrobat Reader.
Uno de los módulos de ElFiesta posee como objetivo precisamente la propagación/infección a través de archivos PDF (Portable Document Format) que buscan vulnerabilidades en algunas versiones de Adobe Acrobat Reader.
En este caso, el archivo descargado se llama 4573.pdf (MD5: b7b7d52a205e950adf4795c14c7f7178), cuyo nombre es aleatorio, posee una tasa de detección del casi el 50%, por ende, una tasa de infección bastante importante por el momento.
Como se mencionó anteriormente, explota una vulnerabilidad (la CVE-2007-5659) que provoca un múltiple Desbordamiento de Búfer a través del archivo pdf previamente manipulado de manera maliciosa incrustando en el mismo un script en JavaScript que descarga y ejecuta un binario llamado load.exe (MD5: 5ee26f43139a2cdb3a79a835574285a0) desde /load.php?id=1118&spl=3.
Como se mencionó anteriormente, explota una vulnerabilidad (la CVE-2007-5659) que provoca un múltiple Desbordamiento de Búfer a través del archivo pdf previamente manipulado de manera maliciosa incrustando en el mismo un script en JavaScript que descarga y ejecuta un binario llamado load.exe (MD5: 5ee26f43139a2cdb3a79a835574285a0) desde /load.php?id=1118&spl=3.
Otro de los módulos que incorpora ElFiesta centra el ataque en un método scripting sometido a una técnica de ofuscación.
Realizando un análisis más profundo del caso, nos encontramos con una versión de ElFiesta recién implementada. En la siguiente captura se aprecia que la información estadística corresponde a nuestros datos.
Estos métodos son comunes a la mayoría de aplicativos crimeware de este estilo; sin embargo, apreciamos un detalle más que interesante: el dominio utilizado corresponde a un conocido scareware llamado XP Police Antivirus.
En consecuencia, la primera pregunta que viene a la mente es: XP Police Antivirus ¿colabora con el reclutamiento zombi de ElFiesta?
En consecuencia, la primera pregunta que viene a la mente es: XP Police Antivirus ¿colabora con el reclutamiento zombi de ElFiesta?
Más información
Fusión. Un concepto adoptado por el crimeware actual
Estrategia de infección agresiva de XP Police Antivirus
Campaña de propagación de XP Police Antivirus a través de Ingeniería Social Visual
# pistus Ver más