La CIA hackeó a la Venezuela de Hugo Chavez ¿cierto?

Se trata de la nueva especulación que los ciber-criminales están volcando en internet con el objetivo de infectar nuevos navegantes incautos.  La campaña se nutre de emails maliciosos enviados en paquetes a las víctimas:

Los enlaces mencionados en el email redirigen a los usuarios a un sitio web ruso -legítimo- llamado “Znakvoprosa” ,cuyo significado es «signo de interrogación», que ya ha sido hackeado anteriormente en varias ocasiones y reportado por el site Zone-h.

Cuando la víctima hace click en uno de los enlaces contenidos en el email, es llevado primeramente al sitio web  Znakvoprosa.tv y, desde allí, automáticamente redirigido a la página web Porkafadonta.com («from spankings to fondot») situada en Bulgaria y que usa el siguiente proveedor ColoCrossing como su ASN:

El código contiene un parámetro altamente ofuscado de Javascript el cual, después de cumplir con varios parámetros necesarios del sistema operativo en la máquina de la víctima, ejecuta el exploit correspondiente. Aquí podéis ver una parte del código mencionado:

El exploit lanzado toma ventaja de la vulnerabilidad conocida como CVE-2012-0507. Actualmente es detectado por 8 de los 46 antivirus disponibles en el mercado. kaspersky antivirus detecta el exploit de forma proactiva como HEUR:Exploit.Java.CVE-2012-0507.gen.

Todo parece indicar que la campaña se basa en el kit de vulnerabilidad Black Hole v2.0 y que aún permanece activa.