Vulnerabilidad en InPage utilizada en ataques bancarios

25 de Noviembre de 2016 – Una vulnerabilidad de día cero en el software de publicación InPage, que se utiliza principalmente en países de origen árabe, Pashto y Urdu, ha sido explotada públicamente en ataques contra instituciones financieras y agencias gubernamentales de la región.

Aunque hay más de 10 millones de usuarios de InPage en Pakistán e India, hay un número significativo de usuarios en los Estados Unidos, Reino Unido y en toda Europa.

Los investigadores de Kaspersky Lab revelaron hoy la vulnerabilidad después de que varios intentos de reportar de forma privada el error a InPage fueron ignorados.

“Hemos informado al proveedor del software afectado de la existencia de la vulnerabilidad, pero no hemos recibido respuesta, mientras los ataques continúan”, dijo Kaspersky Lab en un comunicado.

“También hemos informado al CERT indio y hemos recibido la respuesta de que los especialistas de la organización están estudiando el tema”.

Kaspersky Lab dijo que es posible que varios hackers criminales o del estado estén utilizando este exploit, ya que ha registrado varios ataques contra bancos en Asia y África, así como otros dirigidos a agencias gubernamentales. El exploit se está propagando a través de campañas de phishing, y fue descubierto durante una investigación separada en septiembre.

Fue entonces cuando los investigadores de Kaspersky Lab encontraron un archivo con una extensión .inp que se analizó y encontró que contenía shellcode dentro de un archivo OLE de Microsoft, un formato de archivo que se ha utilizado en una serie de exploits de Office que datan de 2009. Los investigadores detectaron una serie de diferentes payloads y servidores de mando y control utilizados en los ataques respectivos. También se ha publicado una lista de servidores C2 e indicadores de compromiso.

El análisis de Kaspersky Lab de algunos de los correos electrónicos muestra que los atacantes utilizaron otras explotaciones que usaban archivos .rtf y .doc en conjunción con el exploit de InPage.

Los ataques repartian diferentes versiones de keyloggers y backdoors en las máquinas de las víctimas.

La vulnerabilidad en cuestión se encuentra en un analizador del módulo principal de InPage. “El parser en el módulo principal del software ‘inpage.exe’ contiene una vulnerabilidad al analizar ciertos campos”, dijo Kaspersky Lab.

El código shell encontrado en el documento busca primero ciertos patrones en el espacio de memoria virtual antes de lanzar un decodificador que obtiene un puntero de instrucción y descifra la siguiente etapa del ataque. En ese momento, un descargador agarra y ejecuta el payload.

Los investigadores de Kaspersky Lab dijeron que los ataques son similares a los que explotan vulnerabilidades en el Hangul Word Processor contra objetivos gubernamentales en Corea del Sur.

Los investigadores de FireEye el año pasado encontraron un ataque de este tipo y ligaron los payloads e infraestructura de mando y control a Corea del Norte.”

A pesar de nuestros intentos, no hemos podido ponernos en contacto con los desarrolladores de InPage”, dijo Kaspersky Lab. “En comparación, los desarrolladores de Hangul han estado consistentemente corrigiendo vulnerabilidades y publicando nuevas variantes que solucionen estos problemas”.

Leave a Reply