Siria – Ataque dirigido contra el Ministerio de Exteriores

0

Hace escasos días fueron publicados una serie de documentos flitrados relacionados con el Ministerio de Exteriores sirio. Se publicaron en el site “Par:AnoIA”, una especie de nuevo wikileaks administrado por un colectivo anónimo de personas.

El hallazgo corresponde al equipo de securelist.com y fue posible con la ayuda anónima de un usuario que les reportó un documento sospechoso encontrado en el directorio de la mencionada web. El documento contenía un fichero infectado con el malware Exploit.JS.Pdfka.ffw. El usuario tuvo además la amabilidad de remitirles el fichero para su análisis en laboratorio.

Securelist encontró en el email un archivo PDF con la vulnerabilidad CVE-2010-0188″ (para más información consultad http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0188) correspondiente a lo que se denomina un ataque lanza de Phishing. 

Si el encabezamiento del mensaje resultase creible se puede determinar que el mensaje fue enviado desde la IP 123.140.57.166 correspondiente a un servidor proxy situado en Seúl, Korea. 

Detalles técnicos

El email rastreado contiene el archivo “964.pdf”, con un tamaño de 569,477 bytes (md5: cbf76a32de0738fea7073b3d4b3f1d60) Este archivo contiene la vulnerabilidad (CVE-2010-0188) que afecta a las versiones 8 hasta 8.2.0 para Adobe Reader 8 y las versiones 9 hasta la 9.3.0 de Adobe Reader 9.

Se ha comprobado en las versiones 8.2.0 y 9.3.0 y la vulnerabilidad tiene éxito. El archivo contiene un código javascript que emplea la vulnerabilidad para  transmitir el ataque al código interno del programa. Cuando dicho código es alterado, este parchea la linea de comandos del proceso Adobe Reader. Inmediatamente ignora la primera subcadena contenida entre comillas y pasa a extraer la segunda cadena, contenida ésta entre dobles comillas (“”) Suponemos que corresponde a la ruta completa de acceso al archivo en cuestión.

Después copia el documento fuente pdf en “%TEMP%1.dat” e inmediatamente lee el archivo “1.dat”, el cual es descifrado empleando un algoritmo y es copiado en “%TEMP%explorer.exe”. Se repite la operación con la segunda parte de los datos adjuntos, los cuales contienen un falso documento pdf. Son inyectados en “%TEMP%964.PDF”. 

Después de todo el proceso el código fuente ejecuta una nueva instancia de Adobe Reader para abrir el documento inyectado previamente con la amenaza, se elimina el directorio “%TEMP%1.dat” para borrar rastros y se detiene el primer proceso de Adobe Reader.

Si el proceso se ejecuta rápido y sin errores, al usuario le es presentado lo que parece ser un documento “pdf” legítimo, justo lo que espera visualizar el usuario después de haber hecho “doble click” en el doumento adjunto: 

El exploit específico de este documento es localizado por Kaspersky con el nombre “Exploit.JS.Pdfka.ffw” (bastante específico). Aquí podéis ver un mapa de las infecciones en el último año: 

Por último, su distribución por países: 

Como se puede observar estamos ante un ataque no muy difundido, debido a su carárcter localizado. 

Análisis posteriores han descubierto otros documentos de propiedades y objetivos similares los cuales han tenido como objetivo a los seguidores de la causa Pro-Tibet a lo largo de este año.

Más información

http://www.securelist.com/en/blog/774/A_Targeted_Attack_Against_The_Syrian_Ministry_of_Foreign_Affairs

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR