Después de nuestros recientes blogs respecto a la propagación de la vulnerabilidad de Java CVE-2012-4681 (Nuevo día 0 de Java utilizado en un pequeño número de ataques) y su posterior inclusión en el Blackhole Exploit Kit (Nuevo día 10 de Java agregado al Blackhole Exploit Kit), la Websense® ThreatSeeker® Network detectó una nueva campaña de correo electrónico maliciosa que pretende ser un mensaje de verificación de una orden de Amazon y que lleva a las víctimas a una página que contiene la reciente explotación de Java.
Si tiene éxito esta explotación podría permitir que los criminales cibernéticos detrás de esta campaña entreguen más cargas maliciosas a la máquina de la víctima lo que por ejemplo podría llevar a la fuga de información personal y financiera.
Oracle liberó un parche fuera de banda para esta vulnerabilidad de Java (Oracle release Java 1.7.0_07 para solucionar CV-2012-4681) y los clientes de Websense están protegidos por ACE™ nuestro Advanced Classification Engine, contra ésta y otras amenazas.
El 1 de septiembre la Websense® ThreatSeeker® Network interceptó más de diez mil correos electrónicos maliciosos con el asunto ‘Your Order With Amazon.com’ (Su Orden de Amazon.com) que persuadía a los destinatarios de ‘pulsar aquí’ para verificar una orden ficticia como se muestra en el ejemplo:
Una vez que la víctima pulsa sobre el vínculo es dirigida a una página que contiene el Blackhole Exploit Kit – en este caso hxxp://atjoviygdm.dnset.com/main.php?page=8e2cf5bb67d777a4. La vista de la Carga de abajo resalta el Archivo Java ‘Leh.jar’, que se utiliza para explotar a CVE-2012-4681 si la máquina de la víctima es vulnerable; puede encontrarse el análisis de este archivo en VirusTotal.
El JavaScript ofuscado de arriba (la versión no ofuscada de abajo) intenta averiguar toda la información de la máquina como determinar el tipo y versión de navegador así como las versiones de Adobe Flash, Adobe Reader y Java, y entonces según esta información, selecciona la ‘mejor’ explotación a utilizar contra esta víctima en particular.
Esta campaña de correo electrónico ilustra la ingenuidad y la velocidad a la que los criminales emparejan y propagan contenido malicioso junto con técnicas de ingeniería social para explotar las recientes vulnerabilidades del software y la confianza de los usuarios finales.
