El último ataque de día cero de Java está vinculado al ataque de hacker de Bit9

Los investigadores de seguridad de FireEye, que descubrieron los nuevos ataques Java la semana pasada, dijeron que el exploit de Java instala un malware de acceso remoto llamado McRAT.

amenaza, que los productos de Symantec detectan como Trojan.Naid, se conecta de nuevo a un servidor de comando y control (C & C) utilizando la dirección IP 110.173.55.187 (Protocolo de Internet), Symantec r esearchers dijo el viernes en una publicación de blog.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

"Curiosamente, una muestra Trojan.Naid también fue firmada por el certificado Bit9 comprometido discutido en la actualización incidente de seguridad Bit9 y utilizado en un ataque a otra parte ", dijeron. "Esta muestra también usó la dirección IP del servidor de comunicación de backchannel 110.173.55.187. Certificado"

robado

El mes pasado, Bit9, una compañía que vende productos de seguridad usando tecnología de lista blanca, anunció que piratas informáticos irrumpieron en uno de sus servidores y utilizaron uno de los certificados digitales de la compañía para firmar malware. Ese malware luego fue utilizado en ataques contra algunas organizaciones de EE. UU., Dijo la compañía.

"En los ataques posteriores a las tres organizaciones objetivo, los atacantes parecían haber puesto en peligro sitios web específicos (un ataque estilo abrevadero, similar a fue reportado recientemente por Facebook, Apple y Microsoft), "dijo el CTO de Bit9 Harry Sverdlove en una publicación de blog el lunes pasado. "Creemos que los atacantes REPLACEaron un applet Java malicioso en aquellos sitios que usaban una vulnerabilidad en Java para entregar archivos maliciosos adicionales, incluidos archivos firmados por el certificado comprometido".

Uno de esos archivos maliciosos conectados a la dirección IP "110.173. 55.187 "sobre el puerto 80, dijo el CTO Bit9. El IP está registrado en una dirección en Hong Kong.

"Los atacantes Trojan.Naid han sido extremadamente persistentes y han demostrado su sofisticación en múltiples ataques", dijeron los investigadores de Symantec. "Su motivación principal ha sido el espionaje industrial en una variedad de sectores de la industria".

Buscar fallas de día cero

Los ataques que lanzan generalmente implican vulnerabilidades de día cero. En 2012, realizaron un ataque de pozo de agua -un ataque donde un sitio web visitado con frecuencia por los objetivos pretendidos está infectado- que explotó una vulnerabilidad de día cero en Internet Explorer, dijeron los investigadores de Symantec.

Oracle aún tiene que revelar sus planes de parchado para esta última vulnerabilidad de Java. La próxima actualización de seguridad de Java estaba programada para abril, pero la compañía podría decidir lanzar una actualización de emergencia antes de esa fecha.

Los investigadores de seguridad han aconsejado a los usuarios que no necesitan acceder a contenido Java basado en web que eliminen el complemento Java de sus navegadores. La última versión de Java-Java 7 Update 15-proporciona una opción a través de su panel de control para desactivar los complementos de Java o forzar un mensaje de confirmación antes de que los applets de Java puedan ejecutarse dentro del navegador.