Como ya venimos indicando en estos últimos días, se está propagando multitud de malware aprovechando la vulnerabilidad no corregida (CVE-2009-4324) en productos de Adobe. En este caso nos encontramos con un ejemplo de descarga de malware mediante un enlace recibido a través de un correo electrónico como el que vemos a continuación:
Pulsando sobre ese enlace, accederemos a una dirección web preparada especialmente para descargar un archivo pdf malicioso de forma automática pero también invita al usuario a descargarse un ejecutable infectado con un troyano:
Este archivo aprovecha la vulnerabilidad descrita anteriormente y ejecuta código JavaScript en el sistema del usuario, pasando su máquina a formar parte de una botnet y siendo controlada por una aplicación web conocida como FSPACK.
Gracias a la colaboración de Jorge Mieres, experto analista de seguridad de ESET Latinoamérica, hemos conseguido extraer los ficheros .js y .swf que ejecutan la infección y acceder al panel de control de esta botnet:
Aunque la mayoría de mensajes que están propagando esta infección aun se encuentran en inglés no podemos bajar la guardia ya que no sería de extrañar que nos topásemos con ejemplos como el analizado en este artículo pero adaptados a los usuarios de habla hispana.
Para evitar ser infectados con estos métodos recuerden desactivar la función JavaScript en sus productos Adobe y contar con un antivirus actualizado capaz de detectar estas amenazas.
Josep Albors