Los hackers hacen música dulce con la redirección de Spin.com

[ware_item id=33][/ware_item]

Los hackers hacen música dulce con la redirección de Spin.com


El 27 de octubre, los investigadores de seguridad de Symantec descubrieron que Spin.com estaba redirigiendo a los visitantes al kit de explotación Rig, a través de un iframe inyectado.

Los visitantes del sitio web popular de noticias y reseñas de música redirigidos se infectaron posteriormente con una variedad de malware.

En una publicación de blog, el investigador de Symantec Ankit Singh dijo que el kit de explotación Rig aprovechó dos vulnerabilidades de ejecución remota de código (RCE) de uso gratuito de Microsoft Internet Explorer (CVE-2013-2551 y CVE-2014-0322), un Adobe Vulnerabilidad RCE de Flash Player (CVE-2014-0497), una vulnerabilidad RCE de doble referencia de Microsoft Silverlight (CVE-2013-0074), una vulnerabilidad de corrupción de memoria de Oracle Java SE (CVE-2013-2465), un entorno de tiempo de ejecución remoto de Java Java SE de Oracle vulnerabilidad de ejecución de código (CVE-2012-0507) y vulnerabilidad de divulgación de información de Microsoft Internet Explorer (CVE-2013-7331).

Tras la explotación exitosa de cualquiera de esas vulnerabilidades, se descargaría una carga útil cifrada con XOR en la computadora de la víctima. El kit de exploits dejaría caer una variedad de desagradables, incluidos los descargadores y los ladrones de información como Infostealer. Dyranges y el famoso troyano bancario Zeus.

La investigación previa de Symantec reveló cómo el kit de explotación Rig también puede soltar Trojan.Pandex, Trojan.Zeroaccess, Downloader.Ponik, W32.Waledac.D y ransomware Trojan.Ransomlock.

Si bien Spin.com ya no se ve comprometido, el ataque puede haber afectado a una gran cantidad de visitantes, ya que el sitio está clasificado entre los 7,000 más visitados en la web, según Alexa. Con una clasificación de Alexa de alrededor de 2.800 en los EE. UU., Los visitantes de esa región pueden haber estado particularmente en riesgo, particularmente porque Symantec dijo que no sabía cuánto tiempo había estado comprometido Spin.com antes de su descubrimiento.

Hablando con SCMagazine, Singh dijo que el iframe inyectado llevó a los visitantes redirigidos a una página de aterrizaje altamente ofuscada para el kit de explotación Rig, pero no sabía cómo se vio comprometido inicialmente el sitio web..

Continuó diciendo que cuando el usuario llegara a la página de inicio, el kit de exploits primero buscaría eludir cualquier software de seguridad en su computadora antes de buscar complementos particulares que luego podrían explotar..

Singh agregó que "Infostealer.Dyranges comprueba la URL en el navegador web para servicios bancarios en línea e intercepta el tráfico entre el usuario y estos sitios; luego puede robar nombres de usuario y contraseñas ingresados ​​en los formularios de inicio de sesión de estos sitios y enviarlos a ubicaciones remotas. Trojan.Zbot reunirá una variedad de información sobre la computadora comprometida, así como el nombre y las contraseñas de los usuarios, que enviará de vuelta al servidor [comando-y-control]. También abre una puerta trasera a través de la cual los atacantes pueden realizar diversas acciones ".

Singh concluyó que la forma en que se ejecutaba el kit de explotación era tal que un usuario de computadora típico no sería consciente de su presencia en su sistema.

Según Symantec, sus productos de seguridad ya protegen a sus usuarios contra dicho ataque y lo mismo debería ser cierto para todas las demás marcas de software de seguridad de buena reputación. Sin embargo, aconsejaríamos a todos los usuarios que se aseguren de que su software de seguridad esté completamente actualizado para protegerlos de las amenazas más recientes..

Los hackers hacen música dulce con la redirección de Spin.com
admin Author
Sorry! The Author has not filled his profile.