Actualizando información sobre LNK/Autostart.A

Según van pasando los días y los investigadores analizan el malware que se aprovecha de la nueva vulnerabilidad 0-day de Microsoft (es decir, aquella vulnerabilidad que está siendo aprovechada pero para la que no existe parche de seguridad), va apareciendo nueva información al respecto. Investigadores de ESET han detectado un nuevo malware íntimamente relacionado con el malware LNK/Autostart.A que tanto está dando que hablar en los últimos días.

El fichero que alberga esta nueva muestra detectada responde al nombre de jmideb.sys. La fecha de creación del mismo es mucho más reciente (14 de julio) que el código malicioso anterior  y sus funciones son similares a las que ya tenía presentes el malware descubierto la semana pasada (robo de información y ocultación en el sistema infectado usando técnicas de rootkit). No obstante, el certificado que usa esta nueva muestra es diferente a la detectada anteriormente. Si la semana pasada comentábamos que se había usado el certificado de la empresa Realtek Semiconductor Corp., en esta ocasión se detectó que usaba el certificado de la empresa JMicron Technology Corp. para firmar el archivo malicioso. Da la casualidad de que ambas empresas se encuentran ubicadas en el Hsinchu Science Park de Taiwan.

La proximidad de las empresas cuyos certificados fueron usados de forma ilícita para firmar los archivos infectados y el hecho de que se apuntaran a sistemas SCADA de gestión de infraestructuras críticas (concretamente, un modelo de la empresa Siemens) hace pensar en una operación muy bien planificada y profesional. Otro hecho que hace pensar en algún tipo de operación de espionaje es que la mayoría de muestras detectadas lo han sido, mayoritariamente en dos países, Estados Unidos (58%) e Irán (30%). La tensión política entre ambos países es evidente debido a la polémica sobre el supuesto uso de tecnología nuclear para la fabricación de armas de destrucción masiva por parte de las autoridades iraníes.

Más allá del problema de seguridad que supone acceder a uno de estos sistemas de gestión de infraestructuras críticas, lo verdaderamente preocupante para la mayoría de usuarios es que el exploit que se aprovecha de esta vulnerabilidad ya es público, por lo que los creadores de malware tan solo tienen que modificarlo para empezar a propagarlo de forma masiva. Recordemos que no hace falta ejecutar ningún archivo para infectar nuestro sistema y que solo visitando una unidad USB o carpeta compartida con un explorador de archivos con la capacidad de mostrar los iconos de acceso directo (.lnk) podemos infectarnos.

Puesto que los códigos maliciosos que se aprovechan de esta vulnerabilidad son detectados de forma genérica por las soluciones de seguridad de ESET, desde el laboratorio de ESET en Ontinet.com, recomendamos la descarga e instalación de un antivirus que pueda detectar y bloquear estas amenazas hasta que Microsoft lance el correspondiente parche de seguridad.

Josep Albors

Un comentario

Comentar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Atención: nuestra página utiliza cookies Al utilizar nuestro sitio web, consiente nuestra política de uso.

Aceptar y ocultar este mensaje