Los anuncios de Pegel

Seguimos vigilando a Pegel, y hemos descubierto algo interesante: no sólo los sitios legítimos infectados redirigen a sitios web maliciosos que albergan exploits, también lo hacen sitios legítimos con anuncios en flash. Esto no es muy común, así que lo estudiamos más a fondo.

El navegador muestra anuncios flash como lo haría en condiciones normales y dirige a un sitio publicitario cuando pulsas en él.

Pero, cuando analizamos el código ActionScript del anuncio, descubrimos que cuando se está cargando el anuncio se ejecuta el siguiente script:

Esto hace que cuando se muestra el anuncio se ejecute un script en el servidor del cibercriminal, que redirige al usuario a un sitio web que alberga exploits. Parece que un tipo muy específico de anuncio flash ha reemplazado a los anuncios estáticos. Sólo nos queda una duda: ¿Cómo pasó esto?

Resulta que todos los sitios web que se infectaron de esta forma tenían instalado OpenX, una plataforma de anuncios. Se lanzó un nuevo módulo de OpenX en diciembre del año pasado: Open Flash Chart 2. Este módulo contiene una vulnerabilidad (identificada en la versión beta) que permite que los cibercriminales suban códigos ejecutables a un servidor.

Parece que los desarrolladores de OpenX no conocían la vulnerabilidad. Pusieron a disposición del público, una versión vulnerable, y muchos recursos (como thepiratebay.org, esarcasm.com y tutu.ru) que utilizan el módulo vulnerable de OpenX acabaron infectados.

Los cibercriminales querían asegurarse de que los usuarios de OpenX no pudieran descargar la versión más reciente del producto (que solucionó la vulnerabilidad), y lanzaron ataques dirigidos de negación de servicio a openx.org. El sitio web seguía desactivado cuando escribí esta entrada, pero puedes descargar la versión actualizada desde aquí.

Si has instalado OpenX debes actualizarlo a su última versión o eliminar de forma temporal el archivo admin/plugins/videoReport/lib/ofc2/ofc_upload_image.php del directorio donde instalaste OpenX.