La página web de la Agencia de Estados Unidos para el Desarrollo Internacional en Azerbaiyán (azerbaijan.usaid.gov) fue infectada con malware y exploits alrededor del 1 de marzo. El script dañino se está aprovechando de enlaces a exploits o software de seguridad falsos.
Al analizar el ataque se ha descubierto que una de las ubicaciones de “devolución de la llamada” del malware proviene de un dominio que empleó exclusivamente la organización cibercriminal Russian Business Network (RBN) en enero de 2008.
Esta campaña de malware se basa en un script dañino que parece estar creando subdominios dentro del dominio controlado por los ciberdelincuentes. Por ejemplo, cs.ucsb.edu.4afad2ceace1e653.should-be .cn/jan10 .cn se corresponde con la ubicación del primer redireccionamiento donde tuvo lugar el ataque contra USAID.gov. Desde esta ubicación, el internauta es redireccionado hacia orderasia.cn/index.php y orderasia.cn/iepdf.php?f=old, donde tiene lugar la saturación de buffer de Adobe Reader y Acrobat. Al producirse dicho ataque con éxito, se distribuye una aplicación de descarga con un índice de detección basado en firmas.
Resulta aún más interesante cuando se descubre el origen de “devolución de la llamada” del malware fileuploader .cn/check/check.php. Este dominio fue empleado exclusivamente por la Russian Business Network (RBN) en enero de 2008 para confundir a la comunidad mediante el envío de avisos falsos de suspensión de cuentas, cuando en realidad las campañas de malware permanecían en activo.
Al analizar el ataque se ha descubierto que una de las ubicaciones de “devolución de la llamada” del malware proviene de un dominio que empleó exclusivamente la organización cibercriminal Russian Business Network (RBN) en enero de 2008.
Esta campaña de malware se basa en un script dañino que parece estar creando subdominios dentro del dominio controlado por los ciberdelincuentes. Por ejemplo, cs.ucsb.edu.4afad2ceace1e653.should-be .cn/jan10 .cn se corresponde con la ubicación del primer redireccionamiento donde tuvo lugar el ataque contra USAID.gov. Desde esta ubicación, el internauta es redireccionado hacia orderasia.cn/index.php y orderasia.cn/iepdf.php?f=old, donde tiene lugar la saturación de buffer de Adobe Reader y Acrobat. Al producirse dicho ataque con éxito, se distribuye una aplicación de descarga con un índice de detección basado en firmas.
Resulta aún más interesante cuando se descubre el origen de “devolución de la llamada” del malware fileuploader .cn/check/check.php. Este dominio fue empleado exclusivamente por la Russian Business Network (RBN) en enero de 2008 para confundir a la comunidad mediante el envío de avisos falsos de suspensión de cuentas, cuando en realidad las campañas de malware permanecían en activo.
ZDNet (06-03-2009)
http://blogs.zdnet.com/security/?p=2817 
