Desentrañando un ataque sobre Youtube y Google Ads

0

Investigadores de seguridad de Bromium descubrieron, hace escasos días, que los hackers estaban distribuyendo malware entre ordenadores de usuarios que simplemente estaban viendo, confiados, vídeos en Youtube.

Este tipo de ataque mediante descarga dirigida fué distribuído mediante los anuncios incluídos en la web Youtube, empleando un kit de exploit para infectar PCs con sistemas Windows, instalándoles una evolución del troyano bancario Caphaw.

Según una entrada en el blog de la empresa Bromium, el ataque se basaba en el aprovechamiento de una vulnerabilidad de Java (CVE-2013-2460) que ya fué parcheada por Oracle a mediados del 2013. Por esto no nos cansamos de recordar la importancia de tener todos los drivers y software del equipo al día.

La red de anunciante ha estado utilizando el Kit de Exploit Styx, recientemente famoso por comprometer, además, la página web de juguetes Hasbro.com.

El tráfico saliente hacia el Servidor de Control se dirige hacia el este de Europa, donde es probable que esté situado el servidor. Utiliza DGA (Domain Generation Algorithm) para el C&C y aún se están investigando las diversas direcciones IP relacionadas.

Localizaciónd e la amenaza mediante el software de seguridad de Bromium

Cómo se lleva a cabo el ataque

El gráfico de análisis de malware con la consola LAVA de Bromium muestra lo siguiente:

El malware fué encontrado mientras se navegaba a través de Youtube. Afortunadamente, se capturaron restos forenses de la aplicación que contenía el malware. Bromium ha compartido esto con el equipo de seguridad de Google, que según ellos ha sido de gran ayuda y cooperativo. 

La fuente del “dropper” es la que véis debajo, parece ser una descarga típica mediante Java.

Fuente del dropper o software encargado de descargar el malware al equipo

Se dieron cuenta de que el malware intenta detectar la versión de Java que se encuentra en nuestro sistema y, basándose en dicha versión, envía diferentes URLs para asegurarse de que el exploit funcionará adecuadamente. Debajo tenéis la firma del Kit de Expoit Styx.

Firma correspondiente al Kit de Exploit Styx

El Dropper que encontramos en la primera etapa de infección en el exploit de Java es reconocido por algunos fabricantes de antivirus como Win32/Caphaw. Es ampliamente utilizado como troyano bancario y fué analizado en diversas ocasiones el pasado año.

Análisis mediante Virus Total

Después, el malware procura conectarse a dos dominios diferentes: smis.cc y aqu.su. El primero fué creado hace en torno a un mes. La reputación de dicho dominio es actualmente mala.

Domain name: SMIS.CC

Created On: 1/24/2014 9:53:23 AM
Expires On: 1/24/2015 9:53:23 AM
Last Updated On: 1/24/2014 9:53:23 AM

Registrant:
Zuzanna Zielinska
Zuzanna Zielinska
ul. Warynskiego Ludwika 81
Opole, Opole 45-047
PL
48.72763610    Fax: 48.72763610

Este servidor aloja otros 4 dominios que incluyen aqu.su y many.su.

La marca de tiempo de compilación parece indicar que, obviamente, este malware lleva funcionando en la sombra durante unos meses.

Información de encabezado

 

El ataque contemplado por el equipo de Bromium era, en definitiva, uno más antiguo reempaquetado, nada especialmente complejo, pero lo de verdad curioso es la forma en que ha podido llegar hasta Youtube Ads. Según han confirmado recientemente los expertos del laboratorio de Google, se debe un anunciante “rebelde”, cuya campaña ha sido desarticulada y se han tomado medidas a futuro.

Los ataques de tipo Watering Hole se están poniendo de moda. Se trata de ataques de similares al phishing, pero mucho más segmentados y dirigidos a un público o entidad concreta. Recientemente ocurrió algo similar con usuarios de cuentas Yahoo Mail. Para los atacantes, este tipo de ataques garantizan causar el máximo daño posible.

Modus Operandi

El ataque producido y diseccionado por ambos equipos de seguridad se puede resumir en las siguientes fases, vistas desde la óptica de la víctima:

  1. El usuario está viendo un vídeo en Youtube.
  2. El usuairo ve una previsualización (thumbnail) en pantalla de otro vídeo (JPG)
  3. El usuario hace click sobre la imagen previa y accede a ese otro vídeo. En segundo plano, sin embargo, el usuario está siendo redirigido a un anuncio infectado y servido por GoogleAds (*.doubleclick.net)
  4. El malware acaba redirigiendo al usuario al sitio foulpapers.com
  5. Foulpapers.com contiene un iframe que lleva a aecua.nl
  6. aecua.nl sirve el exploit (en este caso era el de tipo Styx)

NOTA: Este tipo de ataque no tendría éxito si el equipo hubiera estado correctamente actualizado en todos sus puntos débiles. Os recomendamos probar soluciones como Secunia PSI, para mantener los componentes críticos y más susceptibles de recibir ataques fuera de peligro.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR