Los
investigadores de seguridad han descubierto un nuevo kit de
explotación, actualmente activo principalmente en países asiáticos, que,
según dicen, ha estado ocupado diseminando bootkits y criptomonedas
(coinminer) malware.Este nuevo kit exploit (EK) ha sido nombrado Underminer en un informe publicado ayer por la empresa de seguridad Trend Micro.
La compañía dice que descubrió las primeras pistas de su existencia la semana pasada, alrededor del 17 de julio.Pero la firma de seguridad Malwarebytes, que publicó un informe que se centró principalmente en el malware de minería de monedas distribuido por Underminer, dice que rastreó las señales anteriores de esta actividad de EK desde finales de 2017, cuando fue mencionada por primera vez por la firma de seguridad china Qihoo 360.
El EK parece haber pasado bastantes meses operando a una escala menor antes de expandir su actividad a otros países.Según Trend Micro, la mayor parte del tráfico web que fluye hacia Underminer proviene de Japón (70%), mientras que el resto proviene de Taiwán (10%), Corea del Sur (6%) y otros países con porcentajes más pequeños.
La compañía dice que descubrió las primeras pistas de su existencia la semana pasada, alrededor del 17 de julio.Pero la firma de seguridad Malwarebytes, que publicó un informe que se centró principalmente en el malware de minería de monedas distribuido por Underminer, dice que rastreó las señales anteriores de esta actividad de EK desde finales de 2017, cuando fue mencionada por primera vez por la firma de seguridad china Qihoo 360.
El EK parece haber pasado bastantes meses operando a una escala menor antes de expandir su actividad a otros países.Según Trend Micro, la mayor parte del tráfico web que fluye hacia Underminer proviene de Japón (70%), mientras que el resto proviene de Taiwán (10%), Corea del Sur (6%) y otros países con porcentajes más pequeños.
EK usa una pequeña cantidad de exploitsEn
el nivel técnico, el kit de explotación aún es pequeño en términos de
la cantidad de exploits que despliega para infectar a los usuarios con
malware. Los investigadores solo han visto tres. Son:
CVE-2015-5119: vulnerabilidad de uso sin cargo en Adobe Flash Player parcheado en julio de 2015CVE-2016-0189: vulnerabilidad de corrupción de memoria en Internet Explorer (IE) parchada en mayo de 2016CVE-2018-4878: vulnerabilidad de uso después de la liberación en Adobe Flash Player parcheado en febrero de 2018Ninguno es específico de Underminer, y todos han sido utilizados por otros EK en el pasado, lo que sugiere que los autores de EK han construido su operación copiando los anteriores.
Underminer ha estado implementando el malware Hidden BeeEn cuanto al mecanismo de entrega de malware utilizado en campañas recientes, se ha visto que el EK utiliza túneles TCP cifrados para implementar primero un bootkit -para la persistencia del sistema operativo- y luego un coinminer.Trend Micro llama a este coinminer "Hidden Mellifera", mientras que Malwarebytes lo llama "Hidden Bee", el mismo nombre que recibió en la comunidad china de infosec el año pasado, cuando fue descubierto y analizado por primera vez.
Los
kits de exploits han tenido una tendencia a la baja en los últimos dos o
tres años y, por lo general, mantener un navegador actualizado y un SO
es suficiente para evitar que los usuarios se infecten.Algunos
exploits nuevos aparecen en el mercado de vez en cuando, pero todos son
efímeros, ya que les resulta difícil mantener su funcionamiento en
niveles rentables, principalmente porque los navegadores modernos son
cada vez más difíciles de hackear, mientras que el uso de Flash se ha
ido. en los últimos años.
0 Comentarios