Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
17/07/2013
Inusual infecció de malware que roba credencials FTP
Una nova infecció d’arxius, distribuïda per mitjà d’atacs de descàrrega dirigits, pot ser capaç de robar credencials FTP (Protocol de Transferència d’Arxius), segons experts de Trend Micro.
La nova variant descoberta forma part de la família d’agents infecciosos PE_EXPIRO, descoberta en 2010, segons un post recent publicat per investigadors de la firma d’antivirus. No obstant això, la rutina de robatori d’informació d’esta versió no és habitual en este tipus de programari maliciós.
La nova amenaça es distribuïx atraient usuaris a llocs web que allotgen un conjunt complet d’elements Java i PDF infectats. Si l’usuari navega pels enllaços que no estan actualitzats, el programari maliciós s’instal·la en els seus ordinadors.
La fallada de Java està en les vulneracions d’execució de codi remot CVE-2010-1723 i CVE-2013-1493 que van ser “apedaçades” per Oracle al juny de 2012 i al març de 2013, respectivament.
Segons la informació compartida per Trend Micro, el passat 11 de juliol es va produir un pic d’infeccions amb esta nova variant EXPIRO, de les quals d’un 70% aproximadament es va registrar als Estats Units.
Una vegada que esta variant corre en un sistema, busca arxius .EXE en tots els discos, locals, de xarxa i extraïbles, i els injecta codi infectat. A més, arreplega informació del sistema i dels seus usuaris, incloses les acreditacions d’accés a Windows, i roba credencials FTP des d’un client FTP open source molt popular, anomenada FileZilla. La informació robada s’allotja en un arxiu amb extensió .DLL i es carrega en servidors de programari maliciós Command and Control.
“La combinació d’elements d’atac és altament inusual i suggerix que este atac estàndard no utilitza eines pirata normalment disponibles”, subratllen els experts de Trend Micro.
El robatori de credencials FTP suggerix que els atacants estan intentant comprometre webs o robar informació d’organitzacions que estan allotjades en servidors FTP. No obstant això, no pareix que l’amenaça estiga dirigida a cap sector en particular, conclouen els especialistes.