Calling All Cars: Desperate Choices / Perfumed Cigarette Lighter / Man Overboard
Investigadores de Eset descubrieron una segunda variante del gusano Stuxnet que utiliza una vulnerabilidad de Windows recientemente divulgada para atacar las máquinas industriales de Siemens.
La segunda variante, que Eset llama "jmidebs.sys", se puede propagar a través de unidades USB. explotando una falla sin parche en Windows que involucra un archivo de acceso directo malicioso con la extensión ".lnk".
Al igual que el gusano Stuxnet original, la segunda variante también está firmada con un certificado, utilizado para verificar la integridad de una aplicación cuando está instalada. El certificado fue comprado a VeriSign por JMicron Technology Corp., una compañía con sede en Taiwán, escribió en un blog Pierre-Marc Bureau, investigador principal de Eset.
[Lectura adicional: cómo eliminar el malware de su PC con Windows]El primer certificado de gusano de Stuxnet provino de Realtek Semiconductor Corp., aunque VeriSign lo ha revocado ahora, dijo David Harley, investigador principal de Eset. Curiosamente, ambas compañías se enumeran para tener oficinas en el mismo lugar, el Parque Científico Hsinchu en Taiwán.
"Raramente vemos tales operaciones profesionales", escribió Bureau. "O robaron los certificados de al menos dos compañías o los compraron a alguien que los robó. En este punto, no está claro si los atacantes están cambiando su certificado porque el primero estuvo expuesto o si están usando diferentes certificados en diferentes ataques, pero esto muestra que tienen recursos significativos. "
Aunque los analistas de Eset todavía están estudiando la segunda variante, está estrechamente relacionada con Stuxnet, dijo Harley. También puede estar diseñado para monitorear la actividad de los sistemas de control de supervisión y adquisición de datos (SCADA) de Siemens WinCC, que se utilizan para administrar las máquinas industriales utilizadas para la fabricación y las plantas de energía. El código para la segunda variante fue compilado el 14 de julio, dijo Harley.
Si bien el código para la segunda variante parece ser sofisticado, la forma en que se ha publicado probablemente no sea la ideal. Liberar un gusano en lugar de un troyano hace que sea más probable que los investigadores de seguridad vean una muestra de él antes si se propaga rápidamente, lo que socava su eficacia, dijo Harley.
"Eso me dice que tal vez lo que estamos viendo es alguien fuera del campo de malware que no entendió las implicaciones ", dijo Harley. "Si tenían la intención de ocultar su interés en las instalaciones SCADA, obviamente no lo han logrado".
Se cree que Stuxnet es la primera pieza de malware dirigida a Siemens SCADA. Si el gusano encuentra un sistema SCADA de Siemens, usa una contraseña predeterminada para ingresar al sistema y luego copiar los archivos del proyecto en un sitio web externo.
Siemens le advierte a sus clientes que no cambien la contraseña porque eso puede afectar el sistema. Siemens planea lanzar un sitio web que aborde el problema y sepa cómo eliminar el malware.
Microsoft emitió un aviso con una solución para la vulnerabilidad hasta que el parche esté listo. Todas las versiones de Windows son vulnerables.
Envíe sugerencias y comentarios a [email protected]
Descubre un software abierto excluido de la contratación de la UE
Un estudio de grupo de la UE revela que el software abierto está siendo excluido de las compras públicas.
Conficker Worm contraataca con la nueva variante
Después de infectar y permanecer inactivo en millones de PC, una nueva variante de Conficker / Downadup cierra el software antivirus y herramientas de seguridad.
Stuxnet Industrial Worm se escribió hace más de un año
Los investigadores de Symantec dicen que han encontrado una versión del gusano industrial Stuxnet que se creó más de hace un año.