La empresa de Seguridad Informática lanzó una alerta sobre una campaña de malvertising que afecta a un sitio de noticias indonesio y que utiliza el Nuclear Exploit Kit. Hay otro sitio comprometido que redirige al mismo Nuclear Exploit Kit, pero con dos cargas de malware que se ejecutan después de explotar la vulnerabilidad más reciente de Adobe Flash.
Los operadores de Nuclear Exploit Kit buscan maximizar sus ganancias al descargar múltiples piezas de malware en las computadoras, a través de la explotación de Adobe Flash Player.
Sobre este ataque, se indica que los clientes de Raytheon/Websense están protegidos a través del análisis en tiempo real de ACE.
Websense informa que al analizar los eventos de seguridad más relevantes se detectó que un sitio Web llamado thisblewmymind.com, el cual afirma ser “un medio viral para el cerebro”, lo que puede ser cierto ya que el sitio descarga virus en las computadoras. De acuerdo con Google, al sitio se le identifica como probablemente comprometido; mientras que SimilarWeb es otro sitio bastante popular porque recibe casi dos millones de usuarios al mes. A las personas que visitaron el sitio, se le inyectó JavaScript ofuscado que redirecciona al Nuclear Exploit Kit y descarga malware.
La empresa informó que la cadena de infección provocó que Adobe Flash Player versión 19.0.0.207 se explotara por parte de Nuclear Exploit Kit para descargar malware, de manera que es probable que la explotación sea la más reciente para Flash, aprovechando a CVE-2015-7645, que se conoció por haberse incorporado en los kits de explotación Nuclear y Angler.
El Nuclear Exploit Kit parece estar empaquetando dos diferentes explotaciones de Flash Player dentro de un archivo SWF (VirusTotal), y elegir dinámicamente cuál cargar, de acuerdo con la versión de Flash Player. Si se detecta la versión 18.0.0.203 o anterior, se utiliza una explotación para aprovechar CVE-2015-5122.
En el caso de este kit de explotación se bajan Gamarue y CryptoWall 3.0 y se ejecutaron a través de la explotación de Flash Player. Gamarue es un malware modular basado en plug-ins que pertenece al botnet Andrómeda y roba credenciales. CryptoWall 3.0 es un cryptoransomware que cifra sus archivos y exige el pago en BitCoin para decodificarlos.
