Los anuncios publicitarios maliciosos continúan: aparecen redes de anuncios publicitarios de Spotify

Durante los últimos meses, algunas redes publicitarias han estado distribuyendo anuncios que redirigen los navegadores a sitios web con exploits.

La red publicitaria de Spotify acaba de salir a la luz (noten que este es un anuncio de terceros en el sector de publicidad del cliente). La mayoría de las veces, redirige a los usuarios a una variedad de servidores en el TLD .cc. Hemos estado trabajando con los proveedores para limpiar sus redes de los anuncios, pero los grupos cibercriminales se esfuerzan por mantener sus anuncios rotando en múltiples redes.
La mayoría de las veces, los anuncios redirigen los navegadores a sitios con exploits que aprovechan vulnerabilidades en Java, Adobe y Microsoft HCP. Detectamos el contenido de este exploit con varios nombres: Exploit.Java.CVE-2010-0840.a-f, Trojan-Downloader.Java.Openconnection.dt, Trojan.Win32.FakeWarn.d, Exploit.HTML.CVE-2010-1885.aj, Exploit.Script.Generic, Exploit.JS.Pdfka.cwm, Exploit.JS.Pdfka.dhm, etc. Todos forman parte del paquete de exploits Blackhole. Nuestras soluciones integrales también comenzaron a bloquear las conexiones con las páginas web afectadas.
La mayoría de los anuncios maliciosos que vimos al principio se encontraban en sitios para adultos, pero los distribuidores están cada vez más agresivos y lograron publicarlos en sitios populares de mensajería instantánea, tiendas en línea regionales y sitios de proveedores de servicios web. Al menos a simple vista parece que se está controlando la amenaza con éxito en ese grupo de anuncios. Pero los sistemas sin parches y desprotegidos se están explotando con éxito y descargan una gran variedad de programas maliciosos de estos sitios, incluyendo FakeAv, el peligroso rootkit TDSS y los ladrones de datos bancarios Papras y Zbot, entre otros.

El paquete de exploits Blackhole no tiene la base de instalación más grande de Internet, pero sus alojadores están aprovechando algunas de las redes más grandes de publicidad para coordinar la redirección a sus páginas de exploits en estos servidores .cc. Además, las detecciones para sus exploits de Java, Pdf y Hcp son muy altas. Cada ocho horas, cuando hay más actividad en Internet, Kaspersky Security Network cuenta las veces que se bloquea la gran cantidad de ataques de dominios .cc.