Una operación en curso que está instalando ransomware y otro malware en las computadoras de los visitantes del sitio web desprevenidos es una de las campañas de ataque drive-by más potentes que los investigadores han visto en la memoria reciente.
Los ataques instalan tres piezas de malware utilizando un kit de explotación llamado GreenFlash Sundown, que los investigadores identificaron en 2023 y han continuado siguiendo desde entonces. Los ataques en las últimas semanas se han disparado nuevamente ya que ShadowGate, uno de los nombres dados al grupo de piratas informáticos detrás de la campaña, ha desatado una versión muy renovada del kit de explotación en servidores de anuncios pirateados administrados por editores web. El compromiso más notable es el de un servidor de anuncios que pertenece a onlinevideoconverter[.]com, un sitio con más de 200 millones de visitantes al mes que convierte videos de YouTube en archivos de video que se pueden almacenar en el disco duro de una computadora.
“Son continuos y con una escala que no hemos visto en un par de años cuando se trata de ataques relacionados con kits de explotación”, dijo Jérôme Segura, un investigador de Malwarebytes que sigue la campaña, sobre los ataques a onlinevideoconverter.[.]visitantes de com. “Literalmente notamos un gran aumento en nuestra telemetría desde hace unos días, lo cual es muy inusual. Dado lo que vemos en nuestra telemetría, esta es la campaña drive-by más exitosa que hemos visto en bastante tiempo, por lo que podemos inferir que muchas personas se vieron afectadas por ella”.
Una escalada importante
Segura informó sobre la reactivación de la campaña el miércoles en una publicación que decía que los ataques fueron una de las primeras veces que los atacantes se dirigieron activamente a personas en Europa y América del Norte. Anteriormente, dijo, el grupo había limitado en gran medida los ataques a Corea del Sur.
En un análisis publicado el jueves, los investigadores de Trend Micro se hicieron eco de la evaluación de que la nueva campaña representa una escalada significativa por parte del otrora grupo regional.
“Esta es la actividad más notable que hemos visto de este grupo desde 2023”, escribió Joseph C. Chen de Trend Micro. “A pesar de su bajo perfil en los últimos dos años, parece que han estado desarrollando y evolucionando continuamente su kit de explotación”.
Entre las innovaciones del nuevo kit: JavaScript bien ofuscado oculto dentro de una imagen GIF falsa que redirige a las personas a fastimage[.]site, uno de los sitios controlados por atacantes que se usa para servir el código de explotación. Otra mejora es un mecanismo de huellas dactilares que funciona en múltiples niveles para seleccionar cuidadosamente un subconjunto de visitantes para ser explotados.
El primer nivel de huellas dactilares se realiza a nivel de red. Filtra los dispositivos que visitan desde direcciones IP asignadas a redes privadas virtuales y servicios similares, para garantizar que solo se dirijan a usuarios de IP residenciales. Otra ronda de huellas digitales utiliza un script de PowerShell para recopilar detalles sobre los dispositivos de los visitantes, incluido su sistema operativo, nombre de usuario, tarjeta de video, disco duro y cualquier producto antivirus.
La criptografía es difícil
Otra característica agregada recientemente es el uso de cifrado de clave pública para proteger las cargas útiles transportadas por su explotación. Antes de que los objetivos se infecten, los exploits generan una clave secreta que es única para cada computadora. La clave secreta se cifra con una clave pública y se envía a los atacantes. Luego, los atacantes usan la clave secreta descifrada para cifrar las cargas útiles. En teoría, debido a que se supone que la clave secreta reside solo en la memoria de la computadora objetivo, y nunca se escribe en el disco ni se transmite en texto sin formato, debería ser difícil para las personas aplicar ingeniería inversa a los exploits para analizar o identificar las cargas útiles.
Los investigadores de Trend Micro pudieron vencer el cifrado al explotar una debilidad crucial. Un nonce criptográfico utilizado en la generación de la clave secreta única se reutilizó como una clave de cifrado separada y se envió en texto sin formato cuando la computadora objetivo se comunicó con uno de los servidores del atacante. Una vez que los investigadores de Trend Micro obtuvieron el nonce, pudieron reproducir la clave secreta que les permitió descifrar la carga útil, o al menos partes de ella.
El compromiso continuo de onlinevideoconverter[.]com es uno de una serie de ataques que los investigadores de Malwarebytes y Trend Micro han observado que el grupo lleva a cabo en servidores de anuncios autohospedados que ejecutan Revive Adversever. (Este es un paquete de recursos abiertos que a veces se conoce con su antiguo nombre OpenX Source).
Representantes de onlinevideoconverter[.]com no respondió a un correo electrónico en busca de comentarios para esta publicación.
La mejor manera de protegerse contra esta campaña es asegurarse de mantener actualizados los navegadores, los complementos de los navegadores y los sistemas operativos, ya que los ataques que este grupo usa casi siempre explotan vulnerabilidades conocidas para las cuales hay parches disponibles. La protección antivirus también es eficaz, ya que la mayoría de los motores detectan tanto los exploits como las cargas útiles. Además, casi nunca es una mala idea desinstalar las versiones independientes de Flash.
Segura dijo que la campaña está instalando tres piezas separadas de malware, incluido el ransomware SEON, el malware de botnet conocido como Pony y el software que extrae criptomonedas en las computadoras infectadas. El ransomware es particularmente pernicioso, ya que elimina cualquier archivo shadowcopy utilizado para la copia de seguridad. Actualmente, los exploits están dirigidos solo a las computadoras con Windows que ejecutan versiones obsoletas del reproductor multimedia Flash de Adobe. Segura dijo que los visitantes que hayan sido infectados lo sabrán de inmediato.
“La carga útil del ransomware es la indicación de que estabas infectado”, le dijo a Ars. «Aparece una nota de rescate y, de hecho, todos los archivos han sido encriptados».
Imagen del listado por Sheila Sund / Flickr
