La plataforma Magento, objetivo de una oleada de ataques mediante kits de exploits

Plataforma Magento. Imagen tomada de: Diario TI

Las tiendas afectadas distribuyen kits de exploits entre sus visitantes con el objetivo de robar sus datos de pagos e inicios de sesión. Este es el tercer ataque masivo vinculado a este tipo de amenazas que han registrado los expertos de G DATA SecurityLabs este año.

Varios kits de exploits en activo

Desde el pasado día 17 de octubre, los expertos de G DATA SecurityLabs han registrado un incremento del número de ataques mediante los kits de exploits conocidos como «Nuclear», «Angler» y, especialmente, «Neutrino». Si bien los ataques a cargo del kit de exploits «Nuclear» tuvieron lugar ese día 17, los del kit «Angler» se concentraron en el día 18 y ese mismo día comenzó el ataque más masivo, protagonizado por el kit de exploits conocido como «Neutrino» y que es el que actualmente sigue en activo. La protección anti exploit de G DATA, integrada en todas las soluciones de seguridad del fabricante alemán, bloquean este tipo de amenazas.

¿Cómo llega el malware a las tiendas de Magento?

La empresa detrás del software utilizado por las tiendas online afectadas asume que sus respectivos webmasters están usando versiones obsoletas de su software. Para infectar las tiendas, los atacantes aprovechan agujeros de seguridad que, aunque ya conocidos, permanecen sin parchear en las versiones antiguas. Aquellos afectados deberían actualizar sus tiendas de inmediato, como ha recomendado el propio Magento.

¿Qué es un kit de exploits?

Un kit de exploits es una herramienta que contiene un número de diferentes ataques específicamente diseñados para aprovechar las vulnerabilidades (exploits) de los programas instalados en un ordenador. Estas herramientas se alojan en un website manipulado, en este caso las tiendas online que funcionan sobre la plataforma de Magento, y son capaces de escanear la configuración de los ordenadores que visitan las páginas donde se alojan en busca de agujeros de seguridad en alguno de sus programas instalados, sistema operativo o el propio navegador. Si localizan alguna vulnerabilidad, lanzan un ataque a la medida (exploit) y usan la brecha recién descubierta para descargar de forma inadvertida nuevo código malicioso en el ordenador de la víctima.

Más información en el sitio de G Data.

Tomado de: Diario TI

Utilizan vulnerabilidad zero-day de Adobe Flash para atacar a gobiernos

Adobe Flash. Imagen tomada de: TheInquirer.

El equipo de investigación de Trend Micro ha descubierto que los atacantes que están detrás de Pawn Storm están utilizando un nuevo exploit zero-day en Adobe Flash en su última campaña. Pawn Storm es una campaña de ciberespionaje de larga duración conocida por dirigirse a objetivos de perfil alto y por emplear la primera vulnerabilidad zero-day vista en Java en los dos últimos años.

En esta reciente campaña, Pawn Storm se dirigía a varios Ministerios de Asuntos Exteriores de todo el mundo. Los objetivos recibieron correos electrónicos de spear phishing que contenían enlaces conducentes al exploit. Los emails y direcciones URL fueron creados manualmente para información sobre temas de actualidad, empleando asuntos en el mensaje de correo electrónico que contienen los siguientes temas:

• “Un suicida con coche bomba se dirige al convoy de tropas de la OTAN en Kabul”
• “Las tropas sirias ganan terreno mientras Putin defiende con ataques aéreos”
• “Israel lanza ataques aéreos contra objetivos en Gaza”
• “Rusia advierte que responderá a Estados Unidos sobre la acumulación de armas nucleares en Turquía, Europa”
• “El ejército de Estados Unidos informa que 75 rebeldes entrenados por Estados Unidos regresan a Siria”

Según Trend Micro, las direcciones URL que alojan el exploit zero-day de Flash son similares a las URL observadas en los ataques dirigidos contra miembros de la Organización del Tratado del Atlántico Norte (OTAN) y de la Casa Blanca en abril de este año.

Los Ministerios de Asuntos Exteriores se han convertido en un particular foco de interés de Pawn Storm recientemente. Junto a los ataques de malware, también se han instalado en los diversos ministerios servidores Outlook Web Access (OWA) falsos. Estos se utilizan para perpetrar ataques de phishing de credenciales muy simples, pero extremadamente eficaces. Uno de los Ministerios de Asuntos Exteriores tenía sus configuraciones DNS para el correo entrante comprometidas. Esto significa que Pawn Storm ha estado interceptando el correo electrónico entrante a esta organización durante un prolongado período de 2015.

Según los análisis realizados por Trend Micro, el fallo zero-day en Flash afecta al menos a las versiones de Adobe Flash Player 19.0.0.185 y 19.0.0.207.

Trend Micro ya ha notificado a Adobe este hallazgo y está trabajando conjuntamente con Adobe para resolver este problema de seguridad. De paso, la empresa menciona que sus productos Trend Micro Deep Security y Vulnerability Protection protegen los sistemas de los usuarios de las amenazas que pueden aprovechar esta vulnerabilidad zero-day en Adobe Flash.

Tomado de: DiarioTI

Nuevo exploit de día cero afecta todas las versiones de Adobe Flash Player para Windows y Mac OSX

Exploit Adobe Flash Player. Imagen tomada de: Diario TI.

El equipo de investigación de Trend Micro Incorporated (TYO: 4704; TSE: 4704) ha descubierto una nueva vulnerabilidad crítica de día cero (CVE-2.015-0313) que afecta a todas las versiones de Adobe Flash Player para Microsoft Windows y Apple Mac OSX.

Los investigadores han identificado ataques activos utilizando anuncios maliciosos o “malvertisements” contra los sistemas Windows de Microsoft. Esta vulnerabilidad ha sido confirmada por Adobe y las dos compañías están colaborando en este descubrimiento para proporcionar un parche en su lugar esta semana. Trend Micro recomienda a los usuarios que consideren desactivar Flash hasta que se libere este parche.

El malvertising no solo afecta a un sitio web, sino más bien a toda una red de anuncios. Éste permite buscar malware que se propaga fácilmente a través de un gran número de sitios web legítimos sin comprometer directamente a los sitios. En base a los resultados de Smart Protection Network de Trend Micro, la mayoría de los usuarios que previamente han accedido al servidor malicioso residen en Estados Unidos.

Los usuarios de Trend Micro que actualmente utilicen Deep Security, Vulnerability Protection, Deep Discovery, Trend Micro Security, OfficeScan y Worry-Free Business Security están protegidos de los potenciales ataques de esta vulnerabilidad.

Si desea más información acerca de la vulnerabilidad Adobe Flash Player visite el blog de Trend Micro TrendLabs Security Intelligence Blog o el artículo publicado en Security Intelligence News, que incluye una complete infografía sobre cómo funcionan los ataques de día cero a través de malvertisements.

Tomado de: Diario TI