Nuevo troyano contra Organizaciones no Gubernamentales tibetanas

Mientras que China sigue sufriendo lo que parecen ataques cibernéticos desde otros países, parece que desde dentro de sus fronteras están haciendo lo mismo pero contra organizaciones no gubernamentales (ONGs) tibetanas. Algunas fuentes sugieren que el nuevo ataque dirigido a usuarios tanto de Mac como de Windows está de alguna manera vinculado a la red Ghostnet, aunque no está ni demostrado ni comprobado.

Este nuevo ataque llega a modo de campaña de spam que pretende explotar una conocida vulnerabilidad de Java (CVE-2011-3544). El objetivo es burlar la seguridad de los usuarios e instalar un troyano. Lo hacen a través de servidores maliciosos que comprueban el User-Agent del navegador para lanzar un Applet Java dirigido específicamente a atacar la vulnerabilidad mencionada. Si la máquina atacada es Windows, ejecuta el Applet default.jar, mientras que si es Linux o Mac OS X se ejecuta index.jar.

Una vez alcanzadada la máquina vulnerable y ejecutado el exploit, instala un troyano con un fichero llamado file.tmp, que se encarga de robar todos los datos del usuario y enviarlos a un servidor remoto. Este persistente troyano (que sigue activo incluso después de reiniciar el equipo) también tiene algunas características que hace sospechar que pudiera pertenecer a una red de botnets, ya que se conecta a un centro de control (C&C), en este caso, al servidor dns.assyra.com.

Para evitar ser víctima de esta nueva amenaza, desde Seguridad Apple nos recomiendan hacer uso de las opciones de Software Update para comprobar si en tuMac OS X está instalada la última versión de Java para Mac OS X, y si no es así, actualizarla inmediatamente. Igualmente, desde el laboratorio de ESET España, Ontinet.com, recomendamos a los usuarios que utilicen software antivirus para protegerse de estas u otras amenazas, ya utilicen Mac, Windows o Linux.

Yolanda Ruiz

@yolandaruiz