El ataque masivo de inyección SQL que está en curso desde hace más de una semana, ahora fue alterado para robar principalmente las credenciales para los juegos en línea, y cuenta con un buena planeación y organización, dicen los expertos.

El ataque, que fue usado en dos dominios específicos como parte de una campaña de inyección SQL generalizada, está dirigido a sitios que ejecutan aplicaciones ASP.Net y utiliza la técnica de inyección SQL para comprometer las aplicaciones e implantar código malicioso en los servidores back-end, de acuerdo con un análisis de los investigadores de Armorize, una empresa que desarrolla aplicaciones de seguridad para Web.

La vulnerabilidad que se está utilizando en el ataque es una falla en Adobe Flash, que fue publicada a principios de este mes y reparada la semana pasada por parte de Adobe. He aquí cómo funciona el ataque:
Del lado del servidor:
  1. Los vectores de ataque utilizan inyecciones SQL en masa que tienen en la mira a sitios previamente escaneados. Los vectores esperan ser utilizados una vez que esté disponible una falla de día cero.
  2. Los ataques se dirigen a las aplicaciones Web ASP.NET vulnerables a la inyección de SQL y que utilizan SQL Server como base de datos. Se debe considerar que la mayor parte de la culpa se atribuye a la propia aplicación Web vulnerable, y no a IIS, ASP.NET o un servidor SQL.
Del lado del cliente:
  1. Falla de día cero descubierta en Asia por un grupo conocido, posiblemente a través de fuzzing.
  2. La falla de día cero inicialmente usa (y captura) los correos electrónicos como parte de los ataques dirigidos, a menudo contra los usuarios asiáticos.
  3. La falla de día cero se apoya en la inyección en masa de SQL después de unos cuantos intentos POC que circulan libremente en la red.
  4. El código de explotación involucra mecanismos que derrotan el análisis basado en el comportamiento.
  5. La explotación es generada por CuteQQ / Anhey.
El ataque incluye un código diseñado específicamente para evadir las aplicaciones de muro de fuego para Web, y está siendo lanzado contra sitios que ejecutan diferentes versiones del software de Microsoft IIS Web Server. Los investigadores de Armorize dicen que los ataques parecen ser obra de un grupo que utiliza el nombre de "dnf666", que puso en marcha una campaña similar en marzo.


DNF significa "Dungeon Fighter ", un juego en línea muy popular en dentro de comunidad de China. Se ofrece aquí en Taiwán y en China en la parte superior de la plataforma QQ. Dnf666.net fue una plataforma de venta (ilegal) de complementos para estos juegos. Al incorpor de ambos, no es de extrañar que al final de este artículo, nuestra conclusión es que el propósito de los ataques a robint.us y 2677.in tenían como objetivo robar contraseñas de los juegos en línea ", escribieron en su análisis.

Fuente: Threat Post