Introducción:
Check Point, empresa experta en seguridad, ha identificado un nuevo vector de ataque que introduce malware en imágenes y gráficos: ImageGate. Además, el equipo de investigadores de Check Point ha descubierto el método por el que los cibercriminales ejecutan código malicioso dentro de imágenes usando aplicaciones de redes sociales como Facebook y LinkedIn.En los últimos días, todas las empresas de seguridad han estado siguiendo con atención la difusión masiva del ransomware Locky vía redes sociales, especialmente en una campaña basada en Facebook. Los analistas de Check Point creen que la técnica ImageGate explica cómo ha sido posible esta campaña de ataques, punto que no había sido respondido hasta ahora.
Debes saber que:
Scalable Vector Graphics (SVG) es un formato de imagen vectorial basado en XML para gráficos bidimensionales con soporte para interactividad y animación. La especificación SVG es un estándar abierto desarrollado por el World Wide Web Consortium (W3C) desde 1999.Esto significa, más específicamente, que puede integrar cualquier contenido que desee (como JavaScript). Además, cualquier navegador moderno podrá abrir este archivo.
Funcionamiento del Ataque:
Durante una conversación en Facebook se puede obtener de un amigo una "imagen" como:
Es una imagen falsa, el hecho de que tenga una terminación .svg ya nos dá que pensar...
El código de la imagen es el siguiente:
El resultado de la secuencia de comandos es redirigir a una web engañosa a la víctima: "//govahoyuge.itup.pw/php/trust.php", a continuación, en subdominios al azar de acuerdo con los siguientes formatos:
hxxp://ecadutaro.yadozalamom.pw/oseboma.html
hxxp://mitobeb.yadozalamom.pw/fineboz.html
hxxp://ibaveh.yadozalamom.pw/urisur.html
Por debajo de ellos se encuentra una página falsa haciéndose pasar por YouTube, que le dice a la víctima que para ver el video necesita un "códec de vídeo" adecuado:
Y amablemente nos ofrece instalar un add-on malicioso.
https://chrome.google.com/webstore/detail/ubo/jegjfinhocnmomhpgmnbjambmgbifjbg/
Abrí la foto
Si ha instalado en su navegador, este complemento, que no será capaz de eliminarlo directamente desde el navegador. Por desgracia, la add-on cierra la página de configuración (tratando de evitar su eliminación). Por lo tanto, la add-on se debe retirar manualmente. Este es un ejemplo para Chrome:Ir al navegador de directorios en el sistema:
Windows:
C:\Users\ \AppData\Local\Google\Chrome\User Data\Default Windows 7, 8.1, and 10:
C:\Users\ \AppData\Local\Google\Chrome\User Data\Default
Mac OS X El Capitán:
usuarios / / Library / Application Support / Google / Chrome / Default
Linux:
/ Inicio / /.config/google-chrome/default
Luego ir a las "Extensiones" y borrar la carpeta llamada "jegjfinhocnmomhpgmnbjambmgbifjbg." Compruebe también que el directorio no es también un perfil distinto al predeterminado.
0 comentarios: