Ataques de phishing usando vulnerabilidad JPEG

in embargo, el troyano no puede atacar a un sistema directamente a través del Internet Explorer o del Outlook, sino solamente a través del Explorador de Windows. Esto significa que el atacante debe persuadir o engañar al usuario, para que visualice la imagen como si fuera un archivo en una carpeta del sistema.

Esto limita su propagación, pero nos indica que los piratas informáticos están experimentando técnicas que les permitan sacar provecho de la vulnerabilidad mencionada, reportada por Microsoft el 14 de setiembre, día en que además se publicó el parche para corregirla (MS04-028).

Cuando el usuario visualiza la imagen JPEG (en los primeros reportes, llamada DUCKY.JPG), el exploit descarga un archivo llamado LL.EXE o Y.EXE de un sitio llamado MAYBEYES.BIZ. Dicho archivo es grabado como DIVXENCODER.EXE en el directorio de Windows (normalmente C:WINDOWS), o en la raíz de C:, y luego ejecutado.

Cuando se ejecuta, dicho archivo inyecta un DLL en el mismo proceso del Explorador de Windows (EXPLORER.EXE).

Una variante descarga un archivo llamado T2.EXE de una determinada dirección IP.

Luego de ello, el troyano inyectado en dicho proceso, intenta contactarse a diferentes sistemas de la misma red del proveedor como MAYBEYES.BIZ, y descarga de él una plantilla en forma de archivo XML. Este archivo describe el mensaje en forma de spam que utiliza las técnicas de phishing, que será enviado desde el sistema infectado, y las direcciones electrónicas a las que dicho mensaje será remitido.

El mensaje en si mismo, simula ser enviado por el Citibank y solicita al usuario que confirme sus datos personales "antes que su cuenta bancaria sea bloqueada". El cuerpo del mensaje en si mismo no es un texto, sino una imagen con enlaces mapeados en ella.

Si el usuario hace clic en los enlaces indicados, es enviado a una página Web controlada por el atacante. La página muestra como fondo la página actual del Citibank para simular su legitimidad, y despliega sobre la misma una ventana emergente (pop-up), que lleva a enlaces que controla el atacante. Esta ventana emergente solicita la información de la cuenta bancaria de la víctima.

Podrían existir otros casos similares, utilizando otros blancos en lugar del Citibank, pero no está claro si el troyano es capaz de utilizar otros servidores cuando los anteriores son cerrados, o se requiere una compilación diferente cada vez (cuando se detectan este tipo de acciones y las mismas son denunciadas, los proveedores involucrados suelen dar de baja los sitios relacionados).

Este tipo de ataque podría ser mejorado en el futuro.

Se recomienda no aceptar enlaces en mensajes no solicitados, así como no abrir adjuntos de ninguna clase.

También es necesario actualizar el sistema a los parches publicados por Microsoft para resolver esta vulnerabilidad (MS04-028). Los usuarios que hayan instalado el Service Pack 2 de Windows XP no son vulnerables, pero podrían serlo si visualizan una imagen infectada con alguno de los demás programas que podrían ser vulnerables.