Han vuelto: ataques que usan anuncios web con trampas explosivas para instalar malware en las computadoras de los visitantes desprevenidos.
La llamada publicidad maliciosa funciona mediante el pago de redes publicitarias para mostrar anuncios publicitarios en sitios web legítimos. El código malicioso se coló en los anuncios y luego explota subrepticiamente las vulnerabilidades en los navegadores o los complementos del navegador. El resultado: simplemente navegar al sitio equivocado infecta las computadoras vulnerables con malware que roba credenciales bancarias, registra contraseñas o espía a los usuarios.
La publicidad maliciosa nunca desapareció, pero se volvió mucho menos común en los últimos años. Gracias a las mejoras dramáticas en la seguridad del navegador, la publicidad maliciosa fue reemplazada por técnicas de infección más efectivas, como phishing, macros maliciosas en documentos de Microsoft Office y engañar a los objetivos para que instalen aplicaciones maliciosas que se hacen pasar por software legítimo.
Internet Explorer… ¿en serio?
Pero durante el último mes, la publicidad maliciosa ha regresado, según informó esta semana la firma de seguridad Malwarebytes. Los investigadores de la compañía dijeron que recientemente encontraron dos grupos diferentes que colocan anuncios con trampas explosivas en xHamster, un sitio con más de mil millones de visitas mensuales, según SimilarWeb. Los anuncios redirigen a los visitantes a sitios que sirven código malicioso. Cuando se ve con Internet Explorer o Adobe Flash, el código puede explotar vulnerabilidades críticas en versiones sin parches de Internet Explorer.
“Los actores de amenazas que aún aprovechan los kits de explotación para entregar malware es una cosa, pero los usuarios finales que navegan con Internet Explorer es otra”, escribieron los investigadores de Malwarebytes. “A pesar de las recomendaciones de Microsoft y los profesionales de seguridad, solo podemos observar que todavía hay una cantidad de usuarios (consumidores y empresas) en todo el mundo que aún tienen que migrar a un navegador moderno y totalmente compatible”.
Internet Explorer siempre ha sido uno de los navegadores más específicos. En parte, eso se debió a su participación de mercado que alguna vez fue dominante. Las protecciones de seguridad inferiores, en comparación con Chrome y Firefox posterior, fueron otra razón clave. Desde entonces, Microsoft lanzó Edge y alentó a todos los usuarios a adoptarlo. Pero el fabricante de software continúa ofreciendo IE, ya que los complementos y el software personalizados a menudo impiden que las organizaciones y las personas usen el navegador obsoleto.
El renacimiento de la publicidad maliciosa parece estar motivado por los atacantes que «exprimen el último jugo de las vulnerabilidades en Internet Explorer y Flash Player (que se retirará definitivamente el próximo año)», observó la publicación de Malwarebytes.
Ingrese Fallout y RIG
Los visitantes de xHamster que usan IE son redirigidos a un sitio malicioso que aloja contenido de Fallout o RIG, dos de los kits de explotación más conocidos. Los kits de explotación son el equivalente de malware de pintar por números. Vendidos en foros clandestinos, permiten que personas con habilidades técnicas relativamente modestas sirvan exploits que infectarán a los visitantes con el malware elegido por el comprador.
El kit de explotación de Fallout estaba redirigiendo objetivos a inteca-deco[.]com, un dominio que se hizo pasar por una agencia de diseño web. Detrás de escena, el sitio redirigía a los objetivos a un dominio diferente que albergaba contenido malicioso de Fallout. Aprovechó la vulnerabilidad de IE CVE-2023-0752 o la vulnerabilidad de Flash CVE-2023-15982. Más tarde, los objetivos fueron redirigidos a un dominio diferente, websolvente[.]me, que usó un truco de redirección diferente para entregar los exploits.
Cuando tuvo éxito, los exploits instalaron Raccoon Stealer. El malware, según la empresa de seguridad CyberArk, se vende por unos 75 dólares a la semana. Los clientes lo usan para robar datos de tarjetas de crédito, credenciales de inicio de sesión, billeteras de criptomonedas y otros datos confidenciales.
Un segundo grupo de publicidad maliciosa, a menudo denominado malsmoke, también utiliza kits de explotación para instalar malware conocido como Smoke Loader. Ellos también muestran anuncios maliciosos en xHamster al comprar espacio de una red publicitaria legítima.
“Malsmoke es probablemente la campaña de publicidad maliciosa más persistente que hemos visto este año”, dijo la publicación de Malwarebytes. “A diferencia de otros actores de amenazas, este grupo ha demostrado que puede cambiar rápidamente de red publicitaria para mantener su negocio ininterrumpido”.
protegiéndote
Con un poco de entrenamiento, no es difícil detectar la mayoría de los ataques de publicidad maliciosa. Por lo general, comienzan siendo redirigidos desde el sitio que los usuarios estaban viendo a un sitio que no reconocen y que no intentaron visitar. Los lectores que se encuentren en esta situación deberán cerrar el navegador y desconectar el ordenador de Internet lo antes posible. Nunca deben hacer clic en los enlaces.
La mejor protección es usar un navegador moderno como Edge, Firefox, Chrome o Brave. Esta última es una oferta relativamente nueva que se basa en el mismo motor Chromium que Chrome. Todos estos navegadores se han reforzado con entornos limitados de seguridad y otras protecciones diseñadas para frustrar los ataques de malware. Usar IE en 2023 es imprudente, ya sea para ver pornografía o cualquier otro tipo de contenido web.
