Publicidad maliciosa usa redirectores SSL

Los expertos de la compañía Cyphort están siguiendo de cerca una campaña que usa banners publicitarios para redirigir a los usuarios a una página infectada con el paquete de exploits Angler. Para hacer la redirecciones, los delincuentes utilizan sitios web populares, que por lo general no sospechan que se han convertido en intermediarios involuntarios de la infección. Según Cyphort, durante diez días de julio estos sitios recibieron las visitas de 10 millones de usuarios, víctimas potenciales del paquete de exploits. Es digno de atención el hecho de que para camuflar sus actividades, los atacantes usen un código de redirección cifrado con SSL.

Cyphor registró un brusco aumento de las detecciones asociadas con Angler el 11 de julio. Desde entonces, los investigadores han descubierto varios sitios usados en cadena para hacer las redirecciones maliciosas, y que cambiaron por lo menos tres veces. Al principio los delincuentes usaban para este objetivo recursos populares ubicados en Vietnam, Turquía, Japón, Arabia Saudita y Alemania. Todos ellos remitían a los usuarios a un redirector SSL alojado en el dominio de la filial alemana de la compañía de marketing Adtech (propiedad de AOL) o al servicio en la nube Microsoft Azure.

Cinco días después, el 16 de julio, Cyphort notó que había cambiado el redirector SSL principal: los delincuentes mudaron su script a los recursos online de otra compañía de marketing, E-planning, y trasladaron los señuelos iniciales a sitios de alto tráfico ubicados en EE.UU. y el Sureste Asiático. A finales de julio sitios suecos, griegos y checos pasaron a integrar la lista de cómplices involuntarios de Angler. Los intentos de bloquear los banners maliciosos daban poco efecto, porque los delincuentes simplemente los sustituían por otros o los modificaban de tal manera que el análisis inicial no ponía al descubierto su carácter malicioso.

Los expertos suponen que esta campaña maliciosa es una etapa más en la expansión de Angler, pronosticada en junio por Invincea. Según manifestó esta compañía de seguridad, en junio las campañas publicitarias maliciosas afectaron a una cantidad sin precedentes de usuarios y también usaron sitios web populares para poner las redirecciones y páginas de aterrizaje. “La mayoría de los anuncios publicitarios maliciosos que detectamos están asociadas con un paquete de exploits que usa una novísima vulnerabilidad de día cero de un producto de Adobe”, remarcó en su momento Pat Belcher, director del departamento de analistas de virus de Invincea. Según los datos de esta compañía, mediante el exploit se instalaban en el equipo de la víctima programas clickers, bots, bancarios y cifradores maliciosos.

Otros expertos también notaron el aumento de la virulencia de Angler. Así, según Sophos, en nueve meses su presencia en Internet aumentó del 22,8% al 82,2% en comparación con otros paquetes de exploit.