News

Publicidad maliciosa usa redirectores SSL

Los expertos de la compañía Cyphort están siguiendo de cerca una campaña que usa banners publicitarios para redirigir a los usuarios a una página infectada con el paquete de exploits Angler. Para hacer la redirecciones, los delincuentes utilizan sitios web populares, que por lo general no sospechan que se han convertido en intermediarios involuntarios de la infección. Según Cyphort, durante diez días de julio estos sitios recibieron las visitas de 10 millones de usuarios, víctimas potenciales del paquete de exploits. Es digno de atención el hecho de que para camuflar sus actividades, los atacantes usen un código de redirección cifrado con SSL.

Cyphor registró un brusco aumento de las detecciones asociadas con Angler el 11 de julio. Desde entonces, los investigadores han descubierto varios sitios usados en cadena para hacer las redirecciones maliciosas, y que cambiaron por lo menos tres veces. Al principio los delincuentes usaban para este objetivo recursos populares ubicados en Vietnam, Turquía, Japón, Arabia Saudita y Alemania. Todos ellos remitían a los usuarios a un redirector SSL alojado en el dominio de la filial alemana de la compañía de marketing Adtech (propiedad de AOL) o al servicio en la nube Microsoft Azure.

Cinco días después, el 16 de julio, Cyphort notó que había cambiado el redirector SSL principal: los delincuentes mudaron su script a los recursos online de otra compañía de marketing, E-planning, y trasladaron los señuelos iniciales a sitios de alto tráfico ubicados en EE.UU. y el Sureste Asiático. A finales de julio sitios suecos, griegos y checos pasaron a integrar la lista de cómplices involuntarios de Angler. Los intentos de bloquear los banners maliciosos daban poco efecto, porque los delincuentes simplemente los sustituían por otros o los modificaban de tal manera que el análisis inicial no ponía al descubierto su carácter malicioso.

Los expertos suponen que esta campaña maliciosa es una etapa más en la expansión de Angler, pronosticada en junio por Invincea. Según manifestó esta compañía de seguridad, en junio las campañas publicitarias maliciosas afectaron a una cantidad sin precedentes de usuarios y también usaron sitios web populares para poner las redirecciones y páginas de aterrizaje. “La mayoría de los anuncios publicitarios maliciosos que detectamos están asociadas con un paquete de exploits que usa una novísima vulnerabilidad de día cero de un producto de Adobe”, remarcó en su momento Pat Belcher, director del departamento de analistas de virus de Invincea. Según los datos de esta compañía, mediante el exploit se instalaban en el equipo de la víctima programas clickers, bots, bancarios y cifradores maliciosos.

Otros expertos también notaron el aumento de la virulencia de Angler. Así, según Sophos, en nueve meses su presencia en Internet aumentó del 22,8% al 82,2% en comparación con otros paquetes de exploit.

Publicidad maliciosa usa redirectores SSL

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada