Se neutraliza campaña de publicidad nociva relacionada con Neutrino

Investigadores de seguridad informática notifican de la exitosa neutralización de una campaña global que usaba anuncios maliciosos para distribuir el malware extorsionador CrypMIC a través de los paquetes de exploits Neutrino. Según Cisco Talos, esos ataques de publicidad amenazaron a un millón de usuarios residentes en América del norte, los países de la Unión Europea, la región de Asia y el Pacífico y Oriente Medio.

Se estableció que los anuncios maliciosos redirectores se iban descargando de la red publicitaria OpenX y aparecían en sitios web de noticias y de pornografía, y en recursos temáticos dedicados a la evolución en el mundo de las finanzas, del rugby, etc. Es de destacar que para redireccionar a la víctima potencial, bastaba que visitara una página con contenido malicioso. “Esta campaña se caracteriza por su escala global, afectó a muchas regiones y usaba muchos idiomas”, remarcó el conocido investigador de Cisco, Nick Biasini.

Los expertos del departamento especializado de Cisco descubrieron la campaña de publicidad nociva a principios del mes pasado. Los datos recogidos en dos semanas fueron suficientes para que los investigadores convencieran al registrador de dominios GoDaddy que empezara a eliminar los redirectores en el único servidor de Neutrino situado en el territorio de Rusia.

Biasini cree que los iniciadores de la campaña de publicidad nociva utilizaron IDs robadas para crackear las cuentas de los dominios alojados en GoDaddy. Después, crearon decenas de subdominios “limpios” y los utilizaron para comprar derechos de mostrar publicidad en la plataforma OpenX. Los intrusos robaron publicidad contextual en sitios temáticos y los hacían pasar como propios utilizando las características de OpenX. Como resultado, los visitantes de recursos legítimos que contenían la publicidad maliciosa llegaban a un subdominio creado especialmente (en Cisco Talos los llaman gateways), desde donde los enviaban a una página con exploits.

“(Gateway) es simplemente un intermediario entre el redirector original (el sitio comprometido o la publicidad nociva) y el servidor de paquetes de exploit que realiza la validación, la infeción y la entrega de la carga útil,” explica Sarah Biasini en su blog. Según los investigadores, el uso de los dominios de gateway permite a los atacantes trasladar de forma rápida el servidor malicioso sin cambiar la cadena de redirecciones y en última instancia “hace posible campañas más largas sin tener que modificar constantemente la página web o el anuncio desde donde empieza la cadena de infección”.

El experto afirma que para redireccionar a las páginas con los exploits de Neutrino los atacantes usan gateways con secuencias de comandos Darkleech, pseudo-Darkleech y EITest. Biasini señaló también que durante el periodo de observación estuvieron bajo riesgo de infección cerca de un millón de visitantes de sitios con publicidad nociva, sin embargo, sólo el 0,1% de ellos fueron atacados por el paquete de exploits Neutrino, que distribuía el extorsionador CrypMIC.

La campaña de publicidad nociva neutralizada gracias a los esfuerzos de Cisco confirmó una vez más que Neutrino es el principal actor en el mercado de los paquetes de exploit. Este malware sigue llenando activamente el nicho que quedó vacante después de la detención del grupo criminal que robaba a los rusos mediante el troyano bancario Lurk. Según los datos de Kaspersky Lab, para propagar el malware bancario, sus miembros hacían un uso extensivo del paquete de exploits Angler e incluso prestaban servicios de asistencia técnica y lo daban en alquiler a otros delincuentes.

En su informe, Biasini hizo hincapié en que las campañas de publicidad nociva son una amenaza creciente. “A medida que los contenidos migran a Internet, la publicidad en línea se está convirtiendo en la principal fuente de ingresos para estos sitios”, dijo el experto. “Los ciberdelincuentes lo saben y con cada vez mayor frecuencia dan preferencia a la publicidad nociva, abandonando las formas más genéricas de dirigir el tráfico a los paquetes de exploit”.

Fuentes: Threatpost