News

Los anuncios de Pegel

Seguimos vigilando a Pegel, y hemos descubierto algo interesante: no sólo los sitios legítimos infectados redirigen a sitios web maliciosos que albergan exploits, también lo hacen sitios legítimos con anuncios en flash. Esto no es muy común, así que lo estudiamos más a fondo.

El navegador muestra anuncios flash como lo haría en condiciones normales y dirige a un sitio publicitario cuando pulsas en él.

Pero, cuando analizamos el código ActionScript del anuncio, descubrimos que cuando se está cargando el anuncio se ejecuta el siguiente script:

Esto hace que cuando se muestra el anuncio se ejecute un script en el servidor del cibercriminal, que redirige al usuario a un sitio web que alberga exploits. Parece que un tipo muy específico de anuncio flash ha reemplazado a los anuncios estáticos. Sólo nos queda una duda: ¿Cómo pasó esto?

Resulta que todos los sitios web que se infectaron de esta forma tenían instalado OpenX, una plataforma de anuncios. Se lanzó un nuevo módulo de OpenX en diciembre del año pasado: Open Flash Chart 2. Este módulo contiene una vulnerabilidad (identificada en la versión beta) que permite que los cibercriminales suban códigos ejecutables a un servidor.

Parece que los desarrolladores de OpenX no conocían la vulnerabilidad. Pusieron a disposición del público, una versión vulnerable, y muchos recursos (como thepiratebay.org, esarcasm.com y tutu.ru) que utilizan el módulo vulnerable de OpenX acabaron infectados.

Los cibercriminales querían asegurarse de que los usuarios de OpenX no pudieran descargar la versión más reciente del producto (que solucionó la vulnerabilidad), y lanzaron ataques dirigidos de negación de servicio a openx.org. El sitio web seguía desactivado cuando escribí esta entrada, pero puedes descargar la versión actualizada desde aquí.

Si has instalado OpenX debes actualizarlo a su última versión o eliminar de forma temporal el archivo admin/plugins/videoReport/lib/ofc2/ofc_upload_image.php del directorio donde instalaste OpenX.

Los anuncios de Pegel

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada