El malware infecta PC con Windows, Mac OS X y Linux utilizando una vulnerabilidad de Java en un parche lanzado por Oracle

Era la misma época del año pasado cuando Java enfrentó uno de los períodos más críticos en su historia desde su lanzamiento. Los hackers en ese momento utilizaron una vulnerabilidad llamada ‘Zero Day Exploit’ para hackear software basado en Java. Estos exploits eran tan potentes que comandaban un precio de $5000 por exploit en los sitios web y foros subterráneos. En consecuencia, Oracle lanzó una serie de parches para corregir esta vulnerabilidad. Sin embargo, uno de los parches lanzados por Oracle llamado CVE-2013-2465, lanzado en junio de 2013 para corregir la vulnerabilidad crítica, ¡parece tener un exploit en sí mismo!!!

• 

• Los investigadores han descubierto que un malware de botnet utiliza este exploit para infectar computadoras que funcionan en todos los principales sistemas operativos Windows, Mac OS X y Linux, siempre que tengan instalado y en funcionamiento el marco de software Java de Oracle. Y dado que el marco de Java se utiliza casi en todas partes y por todos, la infección ha sido descrita como una importante. En segundo lugar, el malware en sí es una versión multiplataforma que utiliza el ofuscador Zelix Klassmaster para evitar que sea descompilado por hackers de sombrero blanco y competidores de sombrero negro. El nombre de este malware es Heur:Backdoor.Java.Agent.a. Además de ofuscar el bytecode, Zelix cifra algunos de los procesos internos del malware, lo que hace imposible detectarlo, curarlo o descompilarlo.

• Todas las máquinas que tienen la versión de Java 7 u21 y anteriores son propensas a ser infectadas por esta botnet. Una vez que el bot ha infectado una computadora, se copia a sí mismo en el directorio de autoinicio de su respectiva plataforma para asegurarse de que se ejecute cada vez que se inicie la máquina infectada. Una vez iniciada, el malware hace que las computadoras comprometidas informen a un canal de chat de Internet que actúa como un servidor de comando y control. Los hackers pueden entonces usar este canal IRC para controlar remotamente la computadora hackeada/comprometida. Como se mencionó anteriormente, debido a su característica multiplataforma, este malware se considera doblemente peligroso.

• Los hackers utilizan esta botnet para llevar a cabo específicamente ataques de D enegación de Servicio Distribuida (DDoS) en objetivos de su elección. Esto se hace mediante la emisión de comandos necesarios a través del canal IRC. El canal IRC especificado permite a los hackers especificar la dirección IP, el número de puerto, la intensidad y la duración de los ataques. El malware está escrito completamente en Java, lo que le permite ejecutarse en máquinas con Windows, OS X y Linux. Para mayor flexibilidad y maniobrabilidad para los hackers, el bot también ha sido incorporado con PircBot, una interfaz de programación IRC basada en Java.

• El funcionamiento de este malware de botnet está diseñado de tal manera que tanto la víctima del ataque DDoS como el atacante (PC comprometida) no son conscientes del verdadero criminal detrás del ataque. Esto también dificulta que el webmaster, los analistas de seguridad y los hackers de sombrero blanco empleados por la víctima monitoreen sus sitios web para llegar a la fuente del verdadero atacante.