Campaña de Malvertising destapada tras operar durante 2 meses

0

cpuwarning-com-virus

Investigadores de Malwarebytes acaban de destapar una campaña de ciber-ataques camuflados en anuncios, que estarían alojados en algunas de las webs más importante a nivel mundial y sirviendo variantes del temido “ransomware”

Los cibercriminales han estado aporvechando un exploit dirigido a sacar provecho de un fallo de seguridad en la capa que gestiona Adobe Flash Player para los anuncios online. Durante cerca de 2 meses los falsos anuncios han estado sirviendo ransomware a ciudadanos americanos -principalmente- aunque no descarta todavía su actividad en otros escenarios.

2 meses de Malvertising y Adobe Flash

La vulnerabilidad de tipo use-after-free también conocida como CVE 2015-0313 ya fué parcheada por Adobe en Febrero. Al día siguiente, se notó un alto precipitado en la campaña, según los investigadores de Malwarebytes. Ellos han sido los encargados de rastrear el “ciclo de vida” de este ciberataque Zero-Day desde que se detectasen los primros intentos allá por Diciembre de 2014.

Los atacantes inyectaron los citados anuncios fraudulentos en las  webs de Dailymotion, New York Daily News, tagged.com o Huffington Post, entre una larga lista de webs conocidas.

Teníamos un ataque Zero-Day en nuestras narices durante 2 meses y nadie se dió cuenta…comenta Pedro Bustamante, director de proyectos de Malwarebytes.

Ransomware Cryptowall

Bustamante afirma que nunca se había constatado una campaña de este tipo. Los atacantes utilizaron una popular red de anunciantes (no podemos ofrecer su nombre), posiblemente la más popular del mundo.

La firma no puede ofrecernos unos datos definitivos sobre el alcance del Ransomware en cuanto a víctima totales, pero el tráfico hacia las webs afectadas superó 1 billón de sesiones en febrero de este año. Evidentemente no todos los visitantes fueon víctimas de los ataques, porque los atacantes tenían establecidos filtros en base a edad, país de residencia y similares.Falso anuncio de Internet

Cada una de las webs infectadas desplegó anuncios maliciosos durante una media de 2 días, siendo la primera detección de la campaña el día 10 de Diciembre de 2014. El ransomware escogido para delinquir fué el conocido y reciente Cryptowall.

HanJuan Exploit kit

Es el nombre del kit de exploit (explotación) utilizado por los ciberdelincuentes, alojado además en dominios rotativos para evitar la detección.

Un estudio reciente de la Asociación Nacional de Anunciantes y WhiteOps rastreó el tráfico online y los patrones de 36 empresas principales y descubrió que los anunciantes están perdiendo unos 6,3 billones de dólares anuales debido a este tipo de fraudes.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR