Sobre este ataque, se indica que los clientes de Raytheon/ Websense están protegidos a través del análisis en tiempo real de ACE.
Websense informó que al analizar los eventos de seguridad más relevantes se detectó que un sitio Web llamado thisblewmymind[.]com, el cual afirma ser “un medio viral para el cerebro”, lo que puede ser cierto ya que el sitio descarga virus en las computadoras. De acuerdo con Google, al sitio se le identifica como probablemente comprometido; mientras que SimilarWeb, este sitio es bastante popular porque recibe casi dos millones de usuarios al mes.
Sin embargo, a las personas que visitaron el sitio, se le inyectó JavaScript ofuscado que redirecciona al Nuclear Exploit Kit y descarga el malware.
La empresa informó que la cadena de infección provocó que Adobe Flash Player versión 19.0.0.207 se explotara por parte de Nuclear Exploit Kit para descargar malware, de manera que es probable que esta utilización sea la más reciente para Flash, aprovechando las CVE-2015-7645, que se conocieron por haberse incorporado en los kits de explotación Nuclear y Angler.
El Nuclear Exploit Kit parece estar empaquetando dos diferentes explotaciones de Flash Player dentro de un archivo SWF (VirusTotal), y elegir dinámicamente cuál cargar, de acuerdo con la versión de Flash Player. Si se detecta la versión 18.0.0.203 o anterior, se utiliza una explotación para aprovechar CVE-2015-5122. De otra manera se elige la nueva explotación:
En el caso de este kit de explotación se bajan Gamarue y CryptoWall 3.0 y se ejecutaron a través de la explotación de Flash Player. Gamarue es un malware modular basado en plug-ins que pertenece al botnet Andrómeda y roba credenciales. CryptoWall 3.0 es un cryptoransomware que cifra sus archivos y exige el pago en BitCoin para decodificarlos.
