Ataque multi-stage explota Internet Explorer y Mozilla Firefox

En los últimos días hemos detectado una nueva inyección de código en sitios web, que realiza un ataque multi-stage. La siguiente imagen muestra el script que es inyectado en los sitios afectados:

Script

Como se puede observar, el script apunta a un contenido del tipo HTML. El mismo, en primer término descarga un archivo (logo.png) que es detectado por ESET NOD32 como Win32/TrojanDownloader.VB.ODM. Lo curioso de este ataque es que, además, posee otro script que está preparado para ejecutar un exploit, tanto para Internet Explorer (ie.html) como para Firefox (ff.html):

Script

Ambos archivos poseen las mismas acciones maliciosas, aunque preparadas para ejecutarse en uno u otro navegador. Las mismas consisten en un nuevo script que genera en tiempo real un archivo ejecutable (ver imagen posterior) y, en segundo término, intenta descargar un archivo desde http://[ELIMINADO].6600.org/hf/x/fla.exe. El mismo es detectado por ESET NOD32 como Win32/TrojanDropper.Agent.OGN.

Script

Este ataque demuestra que los dos navegadores más utilizados por los usuarios pueden ser víctimas de ataques de este tipo, y en este caso particular en un mismo ataque que puede ejecutar exploits para ambas plataformas.

Una vez más, los atacantes demuestran sus capacidades para evolucionar en ataques más efectivos y preparados para infectar a los usuarios.

Recuerden que, además de contar con soluciones antivirus con capacidades de detección proactivas para identificar el malware; mantener sus aplicaciones actualizadas (incluidos los navegadores) es una excelente medida de seguridad para evitar la ejecución de exploits.

Sebastián

Autor , ESET

  • mauricio

    por eso yo uso opera

    • Hola mauricio,

      Efectivamente este ataque no explota vulnerabilidades en Opera. De todas formas, recuerda que hace muchos años tampoco lo hacía en Mozilla Firefox. ;-)

      Sebastián

Síguenos