Noticias

Los anuncios de Pegel

Seguimos vigilando a Pegel, y hemos descubierto algo interesante: no sólo los sitios legítimos infectados redirigen a sitios web maliciosos que albergan exploits, también lo hacen sitios legítimos con anuncios en flash. Esto no es muy común, así que lo estudiamos más a fondo.

El navegador muestra anuncios flash como lo haría en condiciones normales y dirige a un sitio publicitario cuando pulsas en él.

Pero, cuando analizamos el código ActionScript del anuncio, descubrimos que cuando se está cargando el anuncio se ejecuta el siguiente script:

Esto hace que cuando se muestra el anuncio se ejecute un script en el servidor del cibercriminal, que redirige al usuario a un sitio web que alberga exploits. Parece que un tipo muy específico de anuncio flash ha reemplazado a los anuncios estáticos. Sólo nos queda una duda: ¿Cómo pasó esto?

Resulta que todos los sitios web que se infectaron de esta forma tenían instalado OpenX, una plataforma de anuncios. Se lanzó un nuevo módulo de OpenX en diciembre del año pasado: Open Flash Chart 2. Este módulo contiene una vulnerabilidad (identificada en la versión beta) que permite que los cibercriminales suban códigos ejecutables a un servidor.

Parece que los desarrolladores de OpenX no conocían la vulnerabilidad. Pusieron a disposición del público, una versión vulnerable, y muchos recursos (como thepiratebay.org, esarcasm.com y tutu.ru) que utilizan el módulo vulnerable de OpenX acabaron infectados.

Los cibercriminales querían asegurarse de que los usuarios de OpenX no pudieran descargar la versión más reciente del producto (que solucionó la vulnerabilidad), y lanzaron ataques dirigidos de negación de servicio a openx.org. El sitio web seguía desactivado cuando escribí esta entrada, pero puedes descargar la versión actualizada desde aquí.

Si has instalado OpenX debes actualizarlo a su última versión o eliminar de forma temporal el archivo admin/plugins/videoReport/lib/ofc2/ofc_upload_image.php del directorio donde instalaste OpenX.

Los anuncios de Pegel

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada