News

Se neutraliza campaña de publicidad nociva relacionada con Neutrino

Investigadores de seguridad informática notifican de la exitosa neutralización de una campaña global que usaba anuncios maliciosos para distribuir el malware extorsionador CrypMIC a través de los paquetes de exploits Neutrino. Según Cisco Talos, esos ataques de publicidad amenazaron a un millón de usuarios residentes en América del norte, los países de la Unión Europea, la región de Asia y el Pacífico y Oriente Medio.

Se estableció que los anuncios maliciosos redirectores se iban descargando de la red publicitaria OpenX y aparecían en sitios web de noticias y de pornografía, y en recursos temáticos dedicados a la evolución en el mundo de las finanzas, del rugby, etc. Es de destacar que para redireccionar a la víctima potencial, bastaba que visitara una página con contenido malicioso. “Esta campaña se caracteriza por su escala global, afectó a muchas regiones y usaba muchos idiomas”, remarcó el conocido investigador de Cisco, Nick Biasini.

Los expertos del departamento especializado de Cisco descubrieron la campaña de publicidad nociva a principios del mes pasado. Los datos recogidos en dos semanas fueron suficientes para que los investigadores convencieran al registrador de dominios GoDaddy que empezara a eliminar los redirectores en el único servidor de Neutrino situado en el territorio de Rusia.

Biasini cree que los iniciadores de la campaña de publicidad nociva utilizaron IDs robadas para crackear las cuentas de los dominios alojados en GoDaddy. Después, crearon decenas de subdominios “limpios” y los utilizaron para comprar derechos de mostrar publicidad en la plataforma OpenX. Los intrusos robaron publicidad contextual en sitios temáticos y los hacían pasar como propios utilizando las características de OpenX. Como resultado, los visitantes de recursos legítimos que contenían la publicidad maliciosa llegaban a un subdominio creado especialmente (en Cisco Talos los llaman gateways), desde donde los enviaban a una página con exploits.

“(Gateway) es simplemente un intermediario entre el redirector original (el sitio comprometido o la publicidad nociva) y el servidor de paquetes de exploit que realiza la validación, la infeción y la entrega de la carga útil,” explica Sarah Biasini en su blog. Según los investigadores, el uso de los dominios de gateway permite a los atacantes trasladar de forma rápida el servidor malicioso sin cambiar la cadena de redirecciones y en última instancia “hace posible campañas más largas sin tener que modificar constantemente la página web o el anuncio desde donde empieza la cadena de infección”.

El experto afirma que para redireccionar a las páginas con los exploits de Neutrino los atacantes usan gateways con secuencias de comandos Darkleech, pseudo-Darkleech y EITest. Biasini señaló también que durante el periodo de observación estuvieron bajo riesgo de infección cerca de un millón de visitantes de sitios con publicidad nociva, sin embargo, sólo el 0,1% de ellos fueron atacados por el paquete de exploits Neutrino, que distribuía el extorsionador CrypMIC.

La campaña de publicidad nociva neutralizada gracias a los esfuerzos de Cisco confirmó una vez más que Neutrino es el principal actor en el mercado de los paquetes de exploit. Este malware sigue llenando activamente el nicho que quedó vacante después de la detención del grupo criminal que robaba a los rusos mediante el troyano bancario Lurk. Según los datos de Kaspersky Lab, para propagar el malware bancario, sus miembros hacían un uso extensivo del paquete de exploits Angler e incluso prestaban servicios de asistencia técnica y lo daban en alquiler a otros delincuentes.

En su informe, Biasini hizo hincapié en que las campañas de publicidad nociva son una amenaza creciente. “A medida que los contenidos migran a Internet, la publicidad en línea se está convirtiendo en la principal fuente de ingresos para estos sitios”, dijo el experto. “Los ciberdelincuentes lo saben y con cada vez mayor frecuencia dan preferencia a la publicidad nociva, abandonando las formas más genéricas de dirigir el tráfico a los paquetes de exploit”.

Fuentes: Threatpost

Se neutraliza campaña de publicidad nociva relacionada con Neutrino

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada