Investigadores de los laboratorios de ESET han dado con una amenaza que, utilizando archivos ejecutables firmados, busca robar información confidencial de diferentes organizaciones de todo el mundo, especialmente en Pakistán, pero tambien en España.
Para realizar parte de esta campaña de ataques dirigidos se utilizó un certificado de firma de código para poder firmar archivos ejecutables, con el fin de mejorar su potencial para propagarse. El certificado otorgado a una empresa india se retiró de forma rápida, pero investigadores de ESET localizaron más de 70 ejecutables maliciosos que habían sido firmados usando este certificado, así como varias muestras similares sin firmar que fueron usadas en esta campaña.
En ESET detectaron varios vectores de infección. El primero usaba una vulnerabilidad que puede ser explotada aprovechando un documento de Microsoft Office especialmente modificado, permitiendo la ejecución de código arbitrario. El otro usaba ficheros PE camuflados como documentos de Microsoft Word o PDF, siendo distribuidos mayoritariamente por correo electrónico. Los investigadores señalaron a personas e instituciones de Pakistán como objetivos de estos ataques. No en vano, uno de los falsos documento PDF fue entregado mediante un archivo autoextraíble llamado “pakistandefencetoindiantopmiltrysecreat.exe”.
Los investigadores han descubierto más de 20 dominios relacionados con esta campaña de ataques, de los que casi un tercio se encontraban alojados por OVH. La mayoría de los nombres de dominio son muy parecidos a los de sitios web reales o a nombres de empresas, una táctica común que intenta ocultar la verdadera finalidad del centro de mando y control.
Finalmente, los datos telemétricos de ESET muestran que Pakistán se encuentra fuertemente afectado por esta campaña, con un 79 por ciento de las infecciones, aunque existen infecciones en todo el mundo, incluida España, con un 3 por ciento.
Autor: Hilda Gómez
Fecha: 23/05/2013
http://www.csospain.es/Detectan-una-campana-de-ataques-dirigidos-de-largo/sección-alertas/noticia-133091