Week 10
I ricercatori del fornitore di sicurezza AlienVault hanno identificato una variante di un exploit di Internet Explorer recentemente scoperto che viene utilizzato per infettare i computer di destinazione con il programma di accesso remoto Plugjan (RAT).
La variante di exploit appena scoperta ha come bersaglio la stessa vulnerabilità senza patch in IE 6, 7, 8 e 9 come l'exploit originale, ma usa un codice leggermente diverso e ha un payload diverso, ha detto Jaime Blasco, manager di AlienVault Labs in un post sul blog.
Il primo exploit è stato trovato nel weekend su un noto server malevolo dal ricercatore di sicurezza Eric Romang e distribuito il Poison Ivy RAT. La seconda versione di exploit scoperta dai ricercatori di AlienVault è stata trovata su un server diverso e installa un programma RAT molto più recente chiamato PlugX.
Tuttavia, date di modifica dei file viste su entrambi i server suggeriscono che entrambe le versioni dell'exploit sono in uso da almeno il 14 settembre.
"Sappiamo che il gruppo che utilizza attivamente il malware PlugX chiamato anche Flowershow ha accesso a Internet Explorer ZeroDay [exploit che ha come target una vulnerabilità non corretta] giorni prima che fosse scoperto ", ha detto Blasco. "A causa delle somiglianze tra il nuovo codice di exploit scoperto e quello scoperto alcuni giorni fa è molto probabile che lo stesso gruppo sia dietro entrambe le istanze."
I ricercatori di AlienVault hanno monitorato gli attacchi che utilizzano il plug-in RAT dall'inizio di quest'anno. Basandosi su percorsi di debug di file trovati all'interno del malware, ritengono che il relativamente nuovo RAT sia stato sviluppato da un hacker cinese noto come WHG, che aveva precedenti legami con il Network Crack Program Hacker (NCPH), un noto gruppo di hacker cinesi. > I ricercatori di AlienVault hanno anche identificato due siti web aggiuntivi che hanno servito il nuovo exploit di IE in passato, ma non è stato possibile ottenere alcun carico utile da loro, ha affermato Blasco. Uno era un sito di notizie per la difesa dall'India e l'altro era probabilmente una falsa versione del 2 ° sito internazionale del Symposium professionale a LED, ha affermato. (Vedi anche "Applicazioni web dannose: come individuarle, come batterle.")
"Sembra che i ragazzi dietro questo 0day si rivolgessero a settori specifici", ha detto Blasco.
Il server in cui l'exploit IE originale è stato trovato anche un exploit memorizzato per una vulnerabilità Java priva di patch il mese scorso. Questo exploit Java è stato utilizzato negli attacchi attribuiti dai ricercatori di sicurezza a un gruppo di hacker cinese soprannominato "Nitro".
Microsoft ha già rilasciato un avviso di sicurezza sulla nuova vulnerabilità di IE e soluzioni di mitigazione temporanee raccomandate mentre funziona su una patch.
I servizi VoIP sono vulnerabili ai botnet, i ricercatori di sicurezza dicono
I difetti in Skype e Google Voice consentono facilmente agli scammer di creare una botnet PBX "e intercettare o ascoltare le chiamate.
Avvisi sui certificati di sicurezza Non funzionano, i ricercatori dicono
I ricercatori di Carnegie Mellon sostengono che gli utenti ignorano in gran parte le avvertenze "certificato non valido" che i browser a volte vengono visualizzati.
Ricercatori: malware di sorveglianza distribuito tramite l'exploit di Flash Player
Gli attivisti politici del Medio Oriente sono stati presi di mira in attacchi che hanno sfruttato una vulnerabilità di Flash Player precedentemente sconosciuta a installare un cosiddetto programma di intercettazione legale progettato per l'applicazione della legge, hanno detto i ricercatori di sicurezza del fornitore di antivirus Kaspersky Lab.