Mientras se realiza el perfil de otro software malicioso y la campaña de aprovechamiento de software malicioso, investigadores de ESET han encontrado una nueva característica que se introdujo en el kit de Nuclear Pack web malware exploitation kit.
Por años, la comunidad de seguridad ha desarrollado métodos efectivos para evaluar el peligro de tantos sitios web como sea posible, buscando contenido malicioso automáticamente.
Gracias al crecimiento de las botnets como plataformas de explotación, los cibercriminales de hoy dependen en gran medida de infraestructura legítima comprometida como medio para distribuir contenido malicioso, comparado con el uso de simples sitios web maliciosos como puntos de propagación y/o infección.
Naturalmente los cibercriminales están al tanto de las últimas investigaciones sobre anti-malware y se adaptan constantemente a las últimas inovaciones, introduciendo nuevas características dentro de los kits de propagación de malware Web mas utilizados.
De acuerdo con los investigadores de ESET, mientras se perfila otra campaña de software malicioso, han encontrado una nueva característica implementada en el kit de Nuclear Pack web malware explotation.
Más detalles:
Hemos rastreado actividad interesante a través de un bloque de código inyectado que usa redirección con iFrame: el código de JavaScript se utiliza para capturar los movimientos del ratón con el evento "onmuosemove" y solo después de que se detecte (el movimiento del ratón) la actividad maliciosas continua con la redirección.
Esta actividad nos permitió identificar este simple método utilizado para evitar rastreadores de compañías AV y de otros tipos. Estos son los primeros intentos proactivos que usan los criminales para detectar la actividad de usuarios reales y evitar los rastreadores y recolectores de malware de los hackers éticos.
La nueva característica es solo la punta del iceberg, a continuación se mencionan algunas de las actividades evasivas más comunes que utilizan los cibercriminales para evitar a programas e investigadores de seguridad al analizar sus campañas:
- El uso de cookies de sesión
- El uso de datos de origen HTTP (referrers) para asegurar que la cadena de explotación está completa
- EL bloqueo de direcciones IP conocidas de distribuidores de seguridad
- EL uso de técnicas de identificación de sistemas operativos o navegadores
- Enviar el contenido malicioso solo una vez por IP
- El uso de servicios de cifrado y ofuscación de JavaScript, incluyendo dinámicamente scripts con tasas bajas de detección
Mientras tanto, el kit de malware web más utilizado sigue siendo Black Hole exploit kit. Solo el tiempo nos dirá si su creador introducirá la característica anti-rastreo web en su exploit kit, pero dado que se aparecen nuevos exploits constantemente, seguramente ya está en la lista de pendientes del cibercriminal detrás del kit.
0 comentarios:
Publicar un comentario