¿Cómo funciona exactamente este malware de Flash en Ubuntu?

Al igual que con la mayoría de las vulnerabilidades remotas dirigidas a un complemento de terceros (es decir, Adobe Flash, en este caso), el atacante usó un video flash comprimido mal formado para corromper el reproductor flash incorporado en la víctima.

Los mecanismos exactos no están claros para mí, ya que no tengo ninguna intención de hacer clic en el video que has vinculado porque ese video PODRÍA ser un malware en sí mismo ... sin embargo, los mecanismos son siempre los mismos: en algún punto, un búfer de datos de algún tamaño que se analizó incorrectamente fue capaz de anular algunos valores clave en la memoria que resultaron en una fuga de datos o ejecución remota en la víctima.

El hecho de que fuera una película Flash no es sorprendente en sí mismo. Algunas vulnerabilidades antiguas en Flash player, de las que tengo conocimiento, implican la anulación de referencias de bloques no válidos para el tamaño de las imágenes incrustadas en el video y el dibujo fuera de la región del lienzo asignado. Básicamente, el atacante cambió las dimensiones de la imagen / video para que fueran válidas de acuerdo con el lenguaje de scripts flash pero no eran válidas en la práctica y, por lo tanto, cuando el reproductor flash intentó ensamblar el contenido, corrompió la memoria.

Lo que es particularmente divertido / interesante es la orientación de Linux, porque Windows es el objetivo dominante para este tipo de ataques. Linux tiende a ser más desafiante porque los usuarios suelen ser más conscientes de su nivel de amenaza y toman precauciones. Obviamente, no es una regla de oro, pero si estás jugando con Linux, al menos estás tratando de aprender cómo funcionan los sistemas mucho más que ser un usuario directo de Windows.

El video muestra muy poca información para confirmar que es un ataque exitoso.

Hay mucho que explicar. Porque toda la infección implica una cadena de proceso de flujo de trabajo. Un desglose realmente simple:

1. Una página web contiene XSS inyectados que notifican al servidor del atacante. El comportamiento típico del navegador enviará el agente de usuario (versión del navegador, información del sistema operativo) al servidor.
2. El servidor del atacante responderá con un script que solicite el complemento del navegador instalado. (Consulte panopticlick FEP sobre la exposición del usuario-agente del navegador)
3. Después de obtener la respuesta del navegador del cliente, comprueba qué complemento está sujeto a explotación y envía nuevas cosas, puede ser un archivo Flash, un archivo PDF, un archivo de video, etc. que contenga una vulnerabilidad.
4. El complemento del navegador no parcheado solo carga el contenido del exploit y ejecuta lo que diga el código oculto.
5. Si el sistema operativo no detuvo el complemento por "operación de memoria ilegal", entonces el complemento ejecuta el código y descarga más contenido del servidor del atacante y lo ejecuta en la máquina del usuario.

Sin embargo, la falla del navegador no significa que sea un exploit exitoso. En algún momento, solo significa que el complemento del navegador del martillo del sistema intente hacer cosas divertidas, como el desbordamiento de búfer .

Creo que esto no tiene nada que ver con las descargas no autorizadas, como afirma el autor. Me parece que visitó un sitio web que había sido inyectado con un iFrame que contenía el sitio malicioso (una forma de Ataque de secuencias de comandos entre sitios ).

Dice que su navegador falló y eso es todo. Es difícil probar más sin visitar realmente la página donde ocurrió el incidente originalmente, que parece no informar.