Los operadores de Nuclear Exploit Kit buscan maximizar sus ganancias al descargar múltiples piezas de malware en las máquinas, a través de la explotación de Adobe Flash Player.
Websense había alertado sobre una campaña de malvertising que afecta a un popular sitio de noticias indonesio y que lleva al Nuclear Exploit Kit; ahora, se informa sobre otro sitio comprometido que redirige al Nuclear Exploit Kit, pero con dos cargas de malware después de que se explotara la vulnerabilidad más reciente de Adobe Flash.
Sobre este ataque, se indica que los clientes de Raytheon/ Websense están protegidos a través del análisis en tiempo real de ACE.
Websense informa que al analizar los eventos de seguridad más relevantes se detectó que un sitio Web llamado thisblewmymind[.]com, el cual afirma ser “un medio viral para el cerebro”, lo que puede ser cierto ya que el sitio descarga virus en las computadoras. De acuerdo con Google, al sitio se le identifica como probablemente comprometido; mientras que SimilarWeb, este sitio es bastante popular porque recibe casi dos millones de usuarios al mes.
Sin embargo, a las personas que visitaron el sitio, se le inyectó JavaScript ofuscado que redirecciona al Nuclear Exploit Kit y descargando malware.
La empresa informó que la cadena de infección provocó que Adobe Flash Player versión 19.0.0.207 se explotara por parte de Nuclear Exploit Kit para descargar malware, de manera que es probable que la explotación sea la más reciente para Flash, aprovechando a CVE-2015-7645, que se conoció por haberse incorporado en los kits de explotación Nuclear y Angler.
El Nuclear Exploit Kit parece estar empaquetando dos diferentes explotaciones de Flash Player dentro de un archivo SWF (VirusTotal), y elegir dinámicamente cuál cargar, de acuerdo con la versión de Flash Player. Si se detecta la versión 18.0.0.203 o anterior, se utiliza una explotación para aprovechar CVE-2015-5122. De otra manera se elige la nueva explotación:
En el caso de este kit de explotación se bajan Gamarue y CryptoWall 3.0 y se ejecutaron a través de la explotación de Flash Player. Gamarue es un malware modular basado en plug-ins que pertenece al botnet Andrómeda y roba credenciales. CryptoWall 3.0 es un cryptoransomware que cifra sus archivos y exige el pago en BitCoin para decodificarlos.
Fuente:https://www.addictware.com.mx/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
