Tal y como anunciamos hace unos días, ya se ha comenzado a propagar malware a través del exploit 0-day de Java, el cual permite ejecutar remotamente cualquier aplicación  en el sistema del usuario sin el conocimiento ni consentimiento del mismo.

Hasta el momento se ha encontrado un sitio de música (con millones de visitas diarias)  que ha sido modificado y en el cual se insertó un script que redirige al usuario a un sitio ruso (IP 79.135.152.152 activo en este momento), desde donde se descargan dos archivos de Java (gsb50.jar y common.jar), que son utilizados para descargar malware al sistema del usuario.

Al analizar dichos archivos en nuestro Laboratorio hemos podido comprobar que se hace referencia a un conocido paquete de Crimeware y Exploits llamado CrimePack:

Crimepack

Sin duda este paquete ha sido actualizado para agregar el exploit reciente de Java y, por las características propias de este paquete, el malware descargado corresponde a la familia que el motor ThreatSense de todos los productos de ESET detecta en forma proactiva como variantes del troyano de Win32/Oficla.FX. ESET además detecta los exploits JS/Exploit.JavaDepKit.A y OSX/Exploit.Smid.B por lo que cualquier sitio que los intente utilizar será bloqueado.

Es de esperar que en las próximas horas y días, la propagación se haga masiva y otros delincuentes comiencen a aprovechar la vulnerabilidad para descargar más malware. Por eso, y mientras Oracle decide actualizar Java, recomendamos aplicar los procedimientos mencionados en nuestro post anterior, mantener actualizado el antivirus o desinstalar (al menos temporalmente) el plugin de Java.

Si se desea conocer más sobre los paquetes de exploits, sus funcionalidades, los costos y la forma de prevención contra ellos recomiendo la lectura del artículo Costos del negocio delictivo encabezado por el crimeware.

Actualización 14:00hs.: Java publicó en el día de la fecha la versión Java 6 Update 20, que soluciona el fallo de seguridad explotado por estos ataques.

Actualización 14:30hs.: desde el blog de ESET en inglés, confirman que hasta hoy por la mañana, ya "hemos identificado al menos 145 puntos de distribución explotando este código, la mayoría de ellos alojados en dominios rusos".

Cristian Borghello
Director de Educación