Zero-Day exploit compromette il sito del Dipartimento del Lavoro americano

Un nuovo  Internet Explorer zero-day exploit è stato scoperto nei giorni scorsi dai laboratori della Trend Micro effettuato ai danni del sito del Dipartimento del Lavoro degli U.S.A.

L’infezione è causata da uno script, JS_DLAGENT.USR, presente all’interno di alcune pagine del sito governativo americano in grado di eseguire un secondo script, JS_KILLAV.AA, questa volta residente su un server esterno. JS_KILLAV.AA è in grado di ottenere informazioni specifiche dalla macchina infettata, quale antivirus è installato, quale browser viene utilizzato e infine è in grado d’eseguire una ricerca per capire se è installata una copia di Adobe Reader e di Flash Player. Rediriziona il browser verso una serie di siti tra cui uno che porta al codice exploit che la Trend Micro rileva come JS_EXPLOIT.MEA.

Secondo un bollettino Microsoft, questo tipo di exploit è in grado di colpire solo la release 8 di Internet Explorer e solo su macchine che montano il sistema operativo Windows XP. Il passaggio successivo che il malware compie è quello di scaricare ed eseguire la backdoor BKDR_POISON.MEA, una variante del trojan ad accesso remoto (RAT) PoisonIvy utilizzato in attacchi mirati di alto profilo.

Questo è solo l’ultimo di una serie di attacchi zero-day di alto profilo che si sono susseguiti dall’inizio di quest’anno. Questo tipo di exploit viene usato per fornire una vasta gamma d’attacchi, da Ransomware a Reveton, oppure, come in questo caso, a PoisonIvy.