Cómo adelantamos en estos días a modo de tendencia, nuevas familias de códigos maliciosos han aparecido empleando como vector de ataque la misma vulnerabilidad 0-Day (CVE-2010-2568) utilizada por Win32/Stuxnet.A.
Investigadores de ESET han identificado en las últimas horas dos códigos maliciosos más relacionados con la explotación de la vulnerabilidad en cuestión. Se trata de la amenaza que ESET NOD32 Antivirus y ESET Smart Security detectan como Win32/TrojanDownloader.Chymine.A.
Este troyano se encarga de establecer una conexión clandestina hacia un servidor ubicado en Estados Unidos desde el cual se descarga y ejecuta automáticamente otra pieza de malware, detectada por los productos de ESET como Win32/Spy.Agent.NSO, diseñado para robar información sensible del equipo víctima.
Por otro lado, una amenaza conocida ha sido actualizada para incorporar la vulnerabilidad. En este caso es detectada bajo la nomenclatura Win32/Autorun.VB.RP, y que utiliza como vector de propagación la funcionalidad de Windows que permite la ejecución automática de dispositivos a través del puerto USB. Del mismo modo que la anterior amenaza, una vez que ha infectado el sistema descarga otros códigos maliciosos.
Si bien estas amenazas son menos sofisticadas que Win32/Stuxnet.A, ya que no se encuentran diseñadas a realizar ataques contra los programas de SIEMENS para el sistema SCADA ni roban certificados digitales, no dejan de ser peligrosos códigos maliciosos cuyo nivel de criticidad en cualquier entorno de información es muy alto.
Bajo este escenario, no cabe duda de la importancia de mantener actualizado su ESET NOD32 para evitar ser víctimas de estas amenazas que explotan una debilidad que aún no cuenta con solución oficial.
Jorge Mieres
Analista de Seguridad