miércoles, 23 de agosto de 2017

Nuevos kits de explotación infectan equipos para minar criptomonedas

Tras la caída de Angler y Nuclear, dos de los más conocidos kits de explotación de los últimos tiempos, se ha percibido una disminución del uso de este tipo de herramientas. A pesar de esto, todavía siguen apareciendo campañas de malvertising que utilizan este tipo de artillería para comprometer la seguridad de tantos equipos como sea posible.

Recientemente se han detectado dos kits utilizados en campañas de malvertising cuyo objetivo es implantar malware de minado de criptomonedas en los equipos infectados.

Se trata de Disdain y Neptune Exploit Kit (antiguamente "Terror Exploit Kit"). Ambos utilizan vulnerabilidades contra las aplicaciones más habituales en este tipo de ataques: Internet Explorer y Adobe Flash.

Estos kits se "alquilan" en el mercado negro por tarifas que oscilan entre los 80 y los 600 dólares al día.

Pricing de Neptune Exploit Kit (Fuente: https://malwarebreakdown.com)
El método utilizado por los atacantes consiste en redirigir a las víctimas desde una publicidad maliciosa a una landing que aloja el kit que intentará infectar a las víctimas.

Panel de control de Disdain Exploit Kit


Vulnerabilidades explotadas

Neptune explota las siguientes vulnerabilidades:

  • CVE-2014-6332 (MS Windows Server 2003, Vista, Server 2008, 7, 8, 8.1, Server 2012)
  • CVE-2015-2419 (JScript 9 en Microsoft Internet Explorer 10 y 11)
  • CVE-2015-6086 (Microsoft Internet Explorer 9, 10 y 11)
  • CVE-2015-7645 (Adobe Flash Player 18.x hasta 18.0.0.252 y 19.x hasta 19.0.0.207 en Windows)
  • CVE-2016-0034 (Microsoft Silverlight 5)
  • CVE-2016-0189 (Microsoft JScript 5.8, VBScript 5.7 y 5.8)
  • CVE-2016-4117 (Adobe Flash Player 21.0.0.226 y anteriores)
  • CVE-2016-7200 (Motor de JavaScript Chakra en Microsoft Edge)
  • CVE-2016-7201 (Motor de JavaScript Chakra en Microsoft Edge)
  • CVE-2017-0037 (Microsoft Internet Explorer 11 y Microsoft Edge)
  • CVE-2017-2995 (Adobe Flash Player 24.0.0.194 y anteriores)
  • CVE-2017-3289 (Java SE 7u121, Java SE 8u111, Java SE 8u112)
  • CVE-2017-3823 (Cisco WebEx browser)

Disdain por su parte utiliza las siguientes vulnerabilidades:
  • CVE-2016-0189 (Internet Explorer 9)
  • CVE-2015-2419 (Internet Explorer 10 y 11)
  • CVE-2013-2551 (Internet Explorer 6, 7, 8, 9 y 10)
  • CVE-2017-0037 (Internet Explorer 10 y 11)
  • CVE-2017-0059 (Internet Explorer 9, 10 y 11)
Estas vulnerabilidades se encuentran parcheadas por lo que se recomienda actualizar a las últimas versiones disponibles.


Francisco Salido

Más información:


Publicación de Trend Micro sobre Disdain