Los hackers utilizan el tema del ébola para atacar computadoras y robar información.
Aprovechando el tema del ébola, los hackers utilizan el tema para lanzar campañas maliciosas: DarkKomet RAT/Backdoor y Sandworm, informó Websense.
La Campaña DarkKomet RAT/Backdoor, arrancó el 10 de octubre y se han detectado miles de email maliciosos que toman ventaja del tema del ébola. La línea de asunto dice: Subject: Ebola Safety Tips-By WHO (Asunto: Consejos de Seguridad del Ébola por la OMS).
Al inicio de la campaña, los mensajes contenían una URL que redireccionaba a las víctimas a un sitio de descarga de un archivo RAR (comprimido). El archivo contenía DarkKomet RAT/Backdoor, herramienta de administración remota (RAT) que da acceso completo a los clientes remotos, usada por los atacantes para controlar la computadora y robar información. Recientemente, en otros mensajes, la campaña evolucionó para incluir archivos adjuntos ejecutables y un archivo comprimido tipo RAR que contiene el ejecutable.
El malware contacta a un servidor ubicado en Rumania.
Por su parte, la campaña Sandworm utiliza las vulnerabilidades de ejecución de Código Remoto Windows OLE CVE-2014-4114 & CVE-2014-6352, y tuvo como objetivo de ataque a la OTAN, a la Unión Europea y a miembros de los sectores de Energía y Telecomunicaciones.
CVE-2014-4114 permite la ejecución remota de código si un usuario abre un archivo de Microsoft Office especialmente diseñado, que contiene un objeto OLE. La vulnerabilidad existe en todas las versiones compatibles de Microsoft Windows, a excepción de Windows Server 2003.
Websense Security Labs señaló que el tema del ébola se ha utilizado en relación con CVE-2014-4114, ya que se encontró que "Ébola en American.pps" utilizaba la vulnerabilidad para descargar y ejecutar una carga desde una dirección remota a través del protocolo SMB, que la mayoría de las veces no se le permite conectarse a direcciones públicas de Internet.
Se informó que es posible detectar CVE-2014-6352 utilizando Yara, ya que existe una regla de Yara que puede ejecutarse contra archivos de Microsoft Office para detectar la vulnerabilidad.