Una campaña de ataque a finales de enero y principios de febrero se llevó a cabo y dos vulnerabilidades de día cero (0day) en Adobe Flash Player ha infectado miles de usuarios de Flash Para atacar a los usuarios con Flash los ciberdelincuentes hicieron uso de anuncios de publicidad usando Flash..









Una campaña de ataque a finales de enero y principios de febrero se llevó a cabo y dos vulnerabilidades de día cero (0day) en Adobe Flash Player ha infectado miles de usuarios de Flash

Para atacar a los usuarios con Flash los ciberdelincuentes hicieron uso de anuncios en Flash.. Una vez que una página web muestra un anuncio infectado pueden quedar infectados. En este caso el malware Bedep instalado en las computadoras. Bedep es un backdoor que permite a atacantes tener control total sobre el equipo. Mientras que el malware ha sido anunciado en el ataque a principios de este año, se observaron los primeros ejemplares en noviembre del año pasado.

La empresa de antivirus Trend Micro ha identificado más de 7.600 víctimas que fueron infectadas con Bedep. El malware no sólo hace uso de vulnerabilidades en el software, lo que también llevan a cuestas otro software. La mayoría de las víctimas Bedep, sin embargo, son el resultado de los ataques de día cero a finales de enero y principios de febrero, según Trend Micro. Se dice que es más de la mitad de todas las infecciones. Una vez Bedep activa utiliza ordenadores infectados para cometer fraude y clic en su anuncio e instalar malware adicional.

BEDEP Malware

El malware BEDEP  ha ganado recientemente notoriedad en el panorama de amenazas después de que se hizo una parte en dos 0days que explotan diferentes vulnerabilidades que afectan a Adobe Flash a principios de 2015. Las vulnerabilidades de día cero introduce riesgos críticos para los usuarios y las empresas como los cibercriminales y los agentes de amenaza puede explotarlos para lanzar ataques antes que un parche de actualización o de seguridad puedan ser liberados. El primer incidente de día cero reportado en 2015 utilizó el kit EXPLOIT Angler y anuncios infectados en sitios web legítimos como mecanismo de entrega. El segundo 0day, que fue descubierto por investigadores de Trend Micro, también se utiliza el mismo método de explotación de utilizar malvertisements, aunque aprovechando el sitio de alojamiento dailymotion.com
.

Nuestros resultados y la retroalimentación de Kafeine demostraron que el Hanjuan exploit kit se utilizó en este incidente. Es interesante observar cómo estas hazañas fueron espaciados estrechamente y utilizaron el mismo payload en ambas hazañas conducen a BEDEP, una familia de malware conocido por robar información que se envía a su-mando y control (C & C) servidores.

BEDEP es notorio por sus rutinas de fraude de la publicidad. Típicamente, plataformas de publicidad se infectan con un script malicioso en el fondo que se carga sin la interacción del usuario. Se hace cuando un usuario remoto supuestamente sube un servicio, sino que sube un anuncio malicioso hecho para parecer un anuncio normal. Se aprovecha de casos en plataformas de publicidad no se registren la legitimidad de los anuncios, lo que expone a sus usuarios a la publicidad fraudulenta. Fraude en la publicidad también puede venir en forma de fraude de clics que seduce a los usuarios hacer clic en un vínculo particular que promueve productos que no necesariamente pueden entregar. En última instancia, sólo tiene que hacer clic en los enlaces que puede generar beneficios para los malos.

Sistemas infectados con BEDEP pasan a formar parte de una botnet, que puede ser utilizado para otras actividades como el envío de correo basura (SPAM) y denegación distribuida de servicio (DDoS) contra empresas y grandes organizaciones. Los sistemas infectados entonces pueden utilizarse para distribuir una carga útil de software malicioso que puede infectar más sistemas. Algunas de las botnets notorios incluyen Asprox, Cutwail / Pushdo, y Andrómeda entre otras.

Análisis técnico de BEDEP

El método de ofuscación en este caso se refiere a la función que se utiliza para cargar y ejecutar el loadbyte(). La función en sí está ofuscado a través de las operaciones de cadena. En ambos ataques, este método se utiliza de manera casi idéntica a cargar el archivo Flash malicioso con el código del exploit detectado como SWF_ANGZIA.A6 para el primer ataque, y SWF_EXPLOIT.MSJT7 para el segundo.

BEDEP y sus cepas son conocidas para bordear la detección debido a su fuerte cirfado. También viene manipular las propiedades del archivo de Microsoft para hacer que parezca legítimo después de una inspección.

BEDEP también tiene la capacidad de distinguir el procesador del sistema está infectando, la instalación de 32 bits o la variante de 64 bits, la que sea adecuado. Esto consigue bypassear r las medidas de seguridad de las versiones de 64 bits y asegurase de que la ejecución de las rutinas maliciosas que debe llevar a cabo.

Fuente:

• http://www.trendmicro.com/vinfo/resources/assets/wp/technical-brief-bedep.pdf