En los últimos días hemos detectado una nueva inyección de código en sitios web, que realiza un ataque multi-stage. La siguiente imagen muestra el script que es inyectado en los sitios afectados:
Como se puede observar, el script apunta a un contenido del tipo HTML. El mismo, en primer término descarga un archivo (logo.png) que es detectado por ESET NOD32 como Win32/TrojanDownloader.VB.ODM. Lo curioso de este ataque es que, además, posee otro script que está preparado para ejecutar un exploit, tanto para Internet Explorer (ie.html) como para Firefox (ff.html):
Ambos archivos poseen las mismas acciones maliciosas, aunque preparadas para ejecutarse en uno u otro navegador. Las mismas consisten en un nuevo script que genera en tiempo real un archivo ejecutable (ver imagen posterior) y, en segundo término, intenta descargar un archivo desde http://[ELIMINADO].6600.org/hf/x/fla.exe. El mismo es detectado por ESET NOD32 como Win32/TrojanDropper.Agent.OGN.
Este ataque demuestra que los dos navegadores más utilizados por los usuarios pueden ser víctimas de ataques de este tipo, y en este caso particular en un mismo ataque que puede ejecutar exploits para ambas plataformas.
Una vez más, los atacantes demuestran sus capacidades para evolucionar en ataques más efectivos y preparados para infectar a los usuarios.
Recuerden que, además de contar con soluciones antivirus con capacidades de detección proactivas para identificar el malware; mantener sus aplicaciones actualizadas (incluidos los navegadores) es una excelente medida de seguridad para evitar la ejecución de exploits.
Sebastián
