Varios investigadores se hicieron eco de que ya existían enlaces desde los que se descargaban ficheros maliciosos que se aprovechaban de la vulnerabilidad. Las primeras muestras detectadas descargaban e instalaban una versión de la herramienta de control remoto Poison Ivy, pero no tardaron en aparecer otros casos con diferentes tipos de malware. En el laboratorio de ESET en Ontinet.com tuvimos acceso a algunos de los archivos que conformaban un ataque de este tipo.
Gracias a la información proporcionada por investigadores como Jaime Blasco (@jaimeblascob), miembro del equipo de investigación de la empresa AlienVault, averiguamos la funcionalidad de cada uno de estos ficheros.
– El fichero exploit.html genera el vector inicial del ataque al aprovecharse de la vulnerabilidad y carga el fichero flash Moh2010.swf.
– El fichero Moh2010.swf es un archivo flash cifrado usando DoSWF. El uso de esta herramienta ha sido observado en otras investigaciones como la de algunos ataques que se aprovechaban de vulnerabilidades en Adobe Flash Player. Este archivo es el encargado de facilitar la ejecución de código, lo que aprovecha para lanzar el archivo Protect.html.
– El fichero Protect.html revisa si el sistema está ejecutando Internet Explorer 7 u 8 bajo Windows XP. Si se cumplen estas condiciones, se activa la vulnerabilidad y se ejecuta el código malicioso.
– El código malicioso está en el fichero 111.exe y, en este caso, corresponde a una variante de la RAT Poison Ivy que las soluciones de seguridad de ESET detectan como el troyanoWin32/Poison.NKX. Hay otro fichero de nombre 111.exe_out que se corresponde con un ejecutable incorrectamente descifrado del fichero 111.exe, probablemente como resultado de alguna modificación realizada por los ciberdelincuentes.
Jaime también nos avisa de la conexión que ha observado entre esta vulnerabilidad y un grupo de ciberdelincuentes asiáticos. Este grupo ha modificado el fichero flash Moh2010.swf para incorporar su propio código malicioso y realizar ataques dirigidos al sector industrial y de defensa. El código del exploit se empezó a propagar usando un dominio que nos sorprendió por lo familiar del nombre: www.nod32XX.com (se han omitido los dos últimos caracteres por seguridad). Cabe aclarar que este dominio no pertenece ni tiene relación alguna con ESET y que, muy probablemente, fuera creado por los delincuentes para aprovecharse de la buena fama que tiene nuestro producto estrella. El dominio estaba alojado en una empresa de telecomunicaciones surcoreana, tal y como se puede observar al realizar una búsqueda por WHOIS:
Actualmente este dominio ya no se encuentra distribuyendo malware, pero hay otros dominios usados por el mismo grupo que podrían estar aprovechando el exploit. Jaime nos informa de que han identificado algunos de los objetivos y la lista es preocupante:
US Aircraft and weapons delivery systems company
US Defence decoy countermeasures company
US Aerospace and defence technology company
US Supplier for repairs of tactical fighters
Laboratory for energetic systems and materials
UK Defence contractor
¿Y mientras tanto qué hace Microsoft? Las buenas noticias son que ha anunciado para mañana 21 de septiembre una actualización de emergencia que solucionaría el fallo. Mientras tanto, ha lanzado una solución temporal conocida como Fix it que permite que los usuarios se protejan de esta grave vulnerabilidad con un par de clics.
Así las cosas, nuestra recomendación pasa por aplicar urgentemente la herramienta temporal Fix it a todos nuestros sistemas Windows e instalar el parche de seguridad tan pronto como salga mañana. Esperamos que la rápida respuesta de Microsoft ayude a mitigar todos los ataques que actualmente se están aprovechando de esta vulnerabilidad para comprometer la seguridad de los usuarios.
Por Josep Albors, director del laboratorio de Ontinet.com
