Certificados robados por Winnti son usados en campañas contra la causa de Tíbet

Un nuevo exploit de Flash se está extendiendo en la red para realizar ataques. En estos momentos, los atacantes han comprometido un sitio de apoyo/ayuda a los niños tibetanos refugiados y están distribuyendo backdoors firmadas con con certificados previamente robados por el kit de exploit Winnti, el cual aprovecha la última brecha encontrada en Flash.

Lapágina atacada es NGO «Tibetan Homes Foundation«. El laboratorio FireEye identificó previamente otros ataques que aprovechaban el fallo descrito en CVE-2013-0634 de Adobe. Se han enviado notificaciones a los usuarios de la página web, aunque aparentemente el archivo malicioso footer.swf está aún alojado dentro de dicha web, así que no intentéis visitarla por ahora. Debéis aseguraros de actualizar vuestro Flash Player a la última versión.

Este sitio ciertamente recuerda al típico ataque denominado «watering hole» (charca), según afirma la compañía antivirus F-Secure, que ya comprobó recienmente otro ataque de similar naturaleza dirigido contra el pueblo «uygur» (Lady Boyle watering hole) y que ha sido puesto en marcha formando un tandem con el Congreso Mundial Uygur celebrado en Marzo. Las «backdoors» (puertas traseras) desarrolladas parecen estar firmadas con certificados digitales extraídos por Winnti, incluyendo el certificado MGAME.

Aquí tenéis un ejemplo de como dichos certificados robados han sido reutilizados para las backdoord empleadas en el incidente de «Tubetan Homes Foundation». Podemos visualizar tanto el certificado de MGAME como el de ShenZehn incrustados en estas backdoors:

El exploit es detectado por el antivirus como Exploit.SWF.CVE-2013-0634.a en ciertos casos. En la siguiente imagen podemos observar su difusión a nivel mundial (detecciones del mismo)

Otros sitios web que alojan el exploit swf «Lady Boile»  incluyen el de «tibetangeeks.com», que recientemente tuvo que realizar una desinfección en su site, y el otro es «vot.org», que quiere decir la «Voz de Tibet» que también ha sido desinfectado.

Otros sitios ahora seguros pero que en algún momento registraron el «Exploit.SWF.CVE-2013-0634.a» fueron sitios relacionados con los uygures, como: «istiqlaltv.com» y «maarip.org», con el mismo exploit de tipo swf que ha padecido la Tibetan Homes Foundation: hxxp://maarip.org/uyghur/footer(.)swf

En definitiva, lo que aquí tenemos es una campaña activa de engaños que se beneficia de un exploit relativamente «nuevo» de Adobe Flash junto con unos certificados que fueron previamente robados en una campaña diferente -la de Winnti contra desarrolladores de sotfware en Asia- lo cual demuestra que la red no solo acerca a las personas, sino también a los delincuentes.