La difusión de la amenazas se lleva a cabo empleando técnicas de spam. El mensaje contiene un archivo malicioso en formato Microsoft Word (.doc) detectado como “XML_DLOADR.A”. Este archivo tiene un script de distribución muy limitado, lo que hace pensar que se trate de un ataque dirigido. Contiene un objeto ActiveX que permite acceder automáticamente a un sitio manipulado con un HTML malicioso detectado por Trend Micro Smart Protection Network como “HTML_DLOADER.AS”.
“HTML_DLOADER.AS” explota la vulnerabilidad CVE-2009-0075, que ya había sido solucionada por Microsoft con el parche de seguridad MS09-002 lanzado la semana pasada. En un equipo que no haya sido parcheado la explotación exitosa de esta vulnerabilidad implica la descarga de una puerta trasera identificada como BKDR_AGENT.XZMS.
Esta puerta trasera además instala un archivo .DLL que tiene capacidades para robar información y envía los datos robados a otra URL a través del puerto 443.
Los exploits de Día-Cero en IE7, tales como: IE Zero-Day Follow-Up: Now Featuring Mass SQL Injections y Zero-Day IE Flaw Being Actively Exploited, que tuvieron lugar el pasado mes de diciembre, también dispararon las alarmas.
El equipo de ingenieros de Trend Micro se encuentra trabajando para averiguar más detalles sobre esta amenaza. Mientras tanto, los usuarios de Trend Micro Smart Protection Network están protegidos de que “HTML_DLOADER.AS”, “XTM_DLOADR.A” y de “BKDR_AGENT.XZMMS” operen en sus sistemas, al mismo tiempo que bloquea las URLs maliciosas. Mientras tanto, ya se ha avisado a los usuarios para que instalen urgentemente el parche en sus equipos.
Jamz Yaneza, Director de Investigación de Amenazas de Trend Micro, señala que “estos ataques contra IE7 todavía son muy reducidos, pero pueden ser el anticipo de una campaña de hacking de mayor envergadura”.
No hay comentarios.:
Publicar un comentario