|
Ataques de phishing usando vulnerabilidad JPEG
|
|
VSantivirus No. 1550 Año 8, lunes 4 de octubre de 2004
Ataques de phishing usando vulnerabilidad JPEG
http://www.vsantivirus.com/ev-04-10-04.htm
Por Enciclopedia Virus (*)
http://www.enciclopediavirus.com/
[Publicado con autorización de Enciclopedia Virus]
Un troyano que explota la vulnerabilidad en la librería GDI+ usada por Microsoft para visualizar archivos JPEG, es empleado en nuevos ataques de PHISHING (técnicas utilizadas para obtener información confidencial mediante engaños para suplantar remitentes o sitios legítimos).
Sin embargo, el troyano no puede atacar a un sistema directamente a través del Internet Explorer o del Outlook, sino solamente a través del Explorador de Windows. Esto significa que el atacante debe persuadir o engañar al usuario, para que visualice la imagen como si fuera un archivo en una carpeta del sistema.
Esto limita su propagación, pero nos indica que los piratas informáticos están experimentando técnicas que les permitan sacar provecho de la vulnerabilidad mencionada, reportada por Microsoft el 14 de setiembre, día en que además se publicó el parche para corregirla (MS04-028).
Cuando el usuario visualiza la imagen JPEG (en los primeros reportes, llamada DUCKY.JPG), el exploit descarga un archivo llamado LL.EXE o Y.EXE de un sitio llamado MAYBEYES.BIZ. Dicho archivo es grabado como DIVXENCODER.EXE en el directorio de Windows (normalmente C:\WINDOWS), o en la raíz de C:, y luego ejecutado.
Cuando se ejecuta, dicho archivo inyecta un DLL en el mismo proceso del Explorador de Windows (EXPLORER.EXE).
Una variante descarga un archivo llamado T2.EXE de una determinada dirección IP.
Luego de ello, el troyano inyectado en dicho proceso, intenta contactarse a diferentes sistemas de la misma red del proveedor como MAYBEYES.BIZ, y descarga de él una plantilla en forma de archivo XML. Este archivo describe el mensaje en forma de spam que utiliza las técnicas de phishing, que será enviado desde el sistema infectado, y las direcciones electrónicas a las que dicho mensaje será remitido.
El mensaje en si mismo, simula ser enviado por el Citibank y solicita al usuario que confirme sus datos personales "antes que su cuenta bancaria sea bloqueada". El cuerpo del mensaje en si mismo no es un texto, sino una imagen con enlaces mapeados en ella.
Si el usuario hace clic en los enlaces indicados, es enviado a una página Web controlada por el atacante. La página muestra como fondo la página actual del Citibank para simular su legitimidad, y despliega sobre la misma una ventana emergente (pop-up), que lleva a enlaces que controla el atacante. Esta ventana emergente solicita la información de la cuenta bancaria de la víctima.
Podrían existir otros casos similares, utilizando otros blancos en lugar del Citibank, pero no está claro si el troyano es capaz de utilizar otros servidores cuando los anteriores son cerrados, o se requiere una compilación diferente cada vez (cuando se detectan este tipo de acciones y las mismas son denunciadas, los proveedores involucrados suelen dar de baja los sitios relacionados).
Este tipo de ataque podría ser mejorado en el futuro.
Se recomienda no aceptar enlaces en mensajes no solicitados, así como no abrir adjuntos de ninguna clase.
También es necesario actualizar el sistema a los parches publicados por Microsoft para resolver esta vulnerabilidad (MS04-028). Los usuarios que hayan instalado el Service Pack 2 de Windows XP no son vulnerables, pero podrían serlo si visualizan una imagen infectada con alguno de los demás programas que podrían ser vulnerables.
Más información:
Gusano JPEG en mensaje de AOL Instant Messenger
http://www.vsantivirus.com/04-10-04.htm
W32/JPEGexploit.A. Exploit en imágenes JPEG
http://www.vsantivirus.com/jpegexploit-a.htm
Troj/Ducky.A. Explota la vulnerabilidad en JPEG
http://www.vsantivirus.com/troj-ducky-a.htm
Troj/Ducky.B. Explota la vulnerabilidad en JPEG
http://www.vsantivirus.com/troj-ducky-b.htm
Herramienta para explotar vulnerabilidad JPEG
http://www.vsantivirus.com/ev-25-09-04.htm
¡Peligro inminente de virus en imágenes JPEG!
http://www.vsantivirus.com/18-09-04-jpeg.htm
Infectarse por ver una imagen ya no es un mito
http://www.vsantivirus.com/ev-15-09-04.htm
Supuesto virus JPEG anunciado en grupos de noticias
http://www.vsantivirus.com/30-09-04.htm
Phishing: Yahoo "E-mail account security warning"
http://www.vsantivirus.com/ph-yahoo-250904.htm
Virus en imágenes JPEG: Cuenta regresiva
http://www.vsantivirus.com/23-09-04.htm
MS04-028 Ejecución de código en proceso JPEG (833987)
http://www.vsantivirus.com/vulms04-028.htm
(*) Este artículo, original de Enciclopedia Virus
http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en
http://www.enciclopediavirus.com/contacto/index.php
Artículo original:
www.enciclopediavirus.com/noticias/verNoticia.php?id=490
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|