El virus de la policía aprovecha un exploit de Java "in-the-wild" el secreto su éxito

El virus de la policía aprovecha un exploit de Java "in-the-wild" y el secreto su "éxito"

Este malware está consiguiendo un alto nivel de infectados y notoriedad en medios de comunicación de toda Europa al usar la imagen de los cuerpos del Estado para amedrentar al infectado. Hemos investigado la raíz del problema: ¿Con qué método se infectan los usuarios? ¿Qué hacen realmente para que el malware se ejecute en sus sistemas? ¿Por qué tanto "éxito"?

Tras varios casos analizados en nuestro laboratorio de análisis forense, las investigaciones previas de Emiliano Martínez y las evidencias encontradas en los ordenadores infectados, hemos confirmado que se está utilizando activamente una vulnerabilidad en Java para conseguir ejecutar código.

Las circunstancias coincidían en los casos afectados: visitas a determinados sitios de descarga directa o pornográficos (repletos de publicidad agresiva no controlada directamente por el servidor) y sistemas desactualizados.

Según nuestros análisis, poco antes de la ejecución del troyano, se descargan ciertos objetos que quedan presentes en la caché de Java

En la figura se observa la caché de Java, además de evidencias del malware: carpeta kodak (como se denomina en sus últimas versiones). Dentro, los archivos "ip.txt" y "pic.bmp". Este último contiene la conocida imagen de la policía nacional según el país. También se comprueba en la imagen que el usuario mantiene dos versiones de Java obsoletas y con numerosos problemas de seguridad.

La vulnerabilidad inicial que desencadena el proceso, según ha investigado nuestro compañero Javier Rascón, se está utilizando ampliamente en kits de explotación de vulnerabilidades que se venden en el mercado negro como Scalaxy o Golfhole.


Detección antivirus

Para detener el ataque, los antivirus podrían haber detectado en primera instancia el intento de infección (el exploit) y en segunda instancia el ejecutable en sí. En ambos estadios del ataque, los niveles de detección por firmas han resultado insuficientes. Nuestros datos en VirusTotal confirman que, por firmas, los ficheros Java son muy poco detectados. Apenas 6 motores por firmas detectan el exploit y solo uno detecta el binario ofuscado.

• VirusTotal muestra de virus policía #1
  
  
• VirusTotal muestra de virus policía #2
  
  
• VirusTotal muestra de virus policía #3

Con respecto al ejecutable en sí, los datos tampoco son muy alentadores. La inmensa mayoría de las muestras que hemos recibimos en VirusTotal a finales de febrero, eran detectadas por uno o dos motores la primera vez que fueron enviadas. Elevándose días después a aproximadamente hasta 26 los motores que reconocían el malware.

Por tanto, en estos momentos actualizar los sistemas (en especial Java) es esencial para protegerse.




El secreto del éxito


El éxito de este malware se basa a nuestro entender en cuatro factores:

• Una difusión profesional. Están aprovechando vulnerabilidades muy recientes (enero) en software popular (Java) y difundiéndolo en páginas muy visitadas (webs de descarga directa de material multimedia). Esto está resultando en una difusión masiva del malware puesto que los usuarios se infectan aparentemente sin haber ejecutado directamente ningún fichero.
  
  
• Un malware "simple" y efectivo. El malware en sí no es "sofisticado" en los términos que manejamos hoy en día (con SpyEye y Zeus como referencia). Solo muestra en pantalla una imagen descargada de un servidor, y espera recibir órdenes. Aunque complejo, no se incrusta en el sistema de una manera especialmente enrevesada. Esto ayuda a que, unido a una detección pobre por firmas, los antivirus no lo detecten tampoco por la heurística de un comportamiento sospechoso.
  
  
• La ingeniería social. Amenazar al usuario con actividades que realizan comúnmente (descarga de material multimedia, por ejemplo), ayuda a dar credibilidad a la estafa. En algunos foros "underground" (de los que esperamos hablar en próximos artículos) hemos observado que el creador se jacta de conseguir que aproximadamente un 1% de los infectados termine pagando. Con el nivel de infección conseguido en toda Europa, podemos imaginar lo lucrativo de la estafa.
  
  
• Eludir antivirus. Las muestras recién llegadas a VirusTotal suelen ser poco detectadas. Están trabajando en eludir las firmas de forma notable, consiguiendo que las muestras "frescas" pasen muy desapercibidas.

Fuente: Hispasec

Artículo de interés:

Ransomware: Aviso falso de la Policía ARGENTINA y ESPAÑOLA.


Guía de cómo eliminar el “Virus de la Policía” (Ransomware) con Polifix.

Agregar dos cosas importantes:

1.- Ya estamos trabajando en actualizar nuestra herramienta gratuita para eliminar el virus de la policía llamada PoliFix, para que detecte y elimine de forma automática esta nueva variante "Kodak"

Mientras tanto recuerden que pueden consultar a nuestro equipo de expertos abriendo un nuevo tema en los sectores de "Virus y Spyware" o "HijackThis" para que los ayuden a eliminar este de forma manual.



2.- Dentro de las recomendaciones que brindamos habitualmente para evitar infectar nuestro ordenador con cualquier tipo de malware, se suma en este caso una muy importante que es: Actualicen sus versiones de "Java Runtime Environment"

Salu2

Hola

Excelente información Marcelo,es interesante saber por dónde se complican la vida la peña sin comer ni beberlo hasta cierto punto,ya que si tuvieran todas las aplicaciones actualizadas,otro gallo les cantaría.

Ahora esperemos que la gente de Oracle puedan encontrar una solución para estos problemas de su herramienta.Aunque la responsabilidad última recae sobre los usuarios finales,por tener las aplicaciones desatendidas y sin actualizar.


Para los que desen actualizar el Java,en el Foro disponemos de una aplicación sencilla y fácil de manejar que se llama JavaRa.


Con el JavaRa, se pueden eliminar versiones viejas y obsoletas,eliminando residuos innecesarios en la máquina. A la vez que se puede actualizar el Java a su última versión de forma semiautomática.

>> Manual de JavaRa <<

Gracias por la informacion

Originalmente publicado por ElPiedra

1.- Ya estamos trabajando en actualizar nuestra herramienta gratuita para eliminar el virus de la policía llamada PoliFix, para que detecte y elimine de forma automática esta nueva variante "Kodak"

Mientras tanto recuerden que pueden consultar a nuestro equipo de expertos abriendo un nuevo tema en los sectores de "Virus y Spyware" o "HijackThis" para que los ayuden a eliminar este de forma manual.



2.- Dentro de las recomendaciones que brindamos habitualmente para evitar infectar nuestro ordenador con cualquier tipo de malware, se suma en este caso una muy importante que es: Actualicen sus versiones de "Java Runtime Environment"

Tal como lo habíamos anunciado en el punto 1, nuestra herramienta gratuita para eliminar el virus de la policía llamada PoliFix ha sido actualizada con las ultimas variantes reportadas de este malware, para poder limpiar sus equipos de forma automática con solo un clic

• Descargar PoliFix.exe by InfoSpyware

Salu2

Gracias a infospyware