Incidentes

El sitio web más grande de Suecia está distribuyendo malware

Esta semana ha sido para mí una de las más frenéticas en mucho tiempo; he estado trabajando noche y día para pulir cada detalle de la Cumbre de Analistas de Kaspersky Security. No tenía ganas de más trabajo porque mis días ya eran demasiado largos y ocupados. Pero cuando estaba saliendo de mi casa para dejar a mis hijos en casa de sus abuelos, suena el teléfono: era Magnus Lindkvist, experto en seguridad de Microsoft en Suecia. Siempre es un placer saber de Magnus, pero esta vez noté un tono diferente en su voz, no tenía ganas de conversaciones superfluas y me preguntó sin rodeos si tenía un ordenador cerca. ¡Me entusiasmó la idea de que algo interesante podría estar pasando! ¡Entraba en acción otra vez! 🙂

Como investigador de seguridad, siempre tengo al menos un ordenador encendido. Magnus me dijo que el sitio web más grande de Suecia, Aftonbladet, estaba propagando malware. Sin perder tiempo, encendí mi equipo virtual, ejecuté Chrome y abrí el sitio web. Pero no pasó nada… ¿por qué? ¿Era una broma de Magnus? Pero Magnus me dijo por teléfono: “Debes usar Internet Explorer”.

La publicidad maliciosa que se estaba ejecutando en Aftonbladet también tenía un script para revisar el navegador, tal vez para evitar infecciones falsas, y sólo funcionaba cuando se ejecutaba Internet Explorer. Cuando visitas Aftonbladet con Internet Explorer, te redirigen a otro sitio web, hxxp://[CUT].windowsdefence-sn.nl. En esta página aparece una imagen estática de una alerta falsa de Microsoft Security Essentials que dice que se han detectado virus en tu ordenador y debes solucionar el problema. La imagen no es de una herramienta de Microsoft Security Essentials, sino de algo que los cibercriminales crearon para asustar a la gente a la que están infectando. Es una táctica muy común de los escritores de virus. Cuando pulsas en la imagen no arreglas nada, sino que caes en la trampa de los delincuentes y descargas el archivo malicioso. El archivo es un ejecutable ofuscado de Visual Basic y seguimos analizándolo.

208216071

Primero me pregunté: ¿será que esto es importante? Aftonbladet eliminó el anuncio malicioso muy pronto y la amenaza no explotaba ninguna vulnerabilidad, era un simple truco de ingeniería social. Pero creo que esta es una historia que hay que contar. La mayoría de los usuarios creen que están a salvo si navegan en sitios con buena reputación, pero este es un caso claro de que no es así. El sitio web más grande de Suecia estaba propagando malware, no porque haya sido hackeado, sino porque alguien compró o comprometió los anuncios del sitio. Los sitios web grandes a menudo incluyen contenido de otros sitios. Por ende, si los cibercriminales comprometen cualquiera de ellos también pueden manipular el contenido del sitio web más grande.

Mientras escribo esto no se con exactitud qué clase de ataque lanza el código malicioso, pero aun así quiero alertar a todos sobre esta amenaza. ¡Por favor mantengan su protección actualizada! También me gustaría incitar a Aftonbladet a que informe a sus lectores si cualquiera de sus sitios está infectado y propagando malware en vez de sólo eliminar el problema en silencio. Esto sería de gran ayuda porque estoy seguro de que mucha gente se pregunta si su ordenador está infectado y si la infección sigue vigente.
¡Muchísimas gracias a Magnus Lindkvist de Microsoft por avisarnos sobre este problema!

El sitio web más grande de Suecia está distribuyendo malware

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada