Una campaña de publicidad maliciosa desenfrenada alimentada por una nueva versión de la plataforma de Exploit Kit se ha cobrado al menos 950.000 víctimas en todo el mundo y lo está haciendo con una tasa de éxito sin precedentes.
Investigadores de Trustwave dijeron antes de la conferencia Black Hat de esta semana que han estado observando los servidores que participan en la campaña durante seis semanas. Ellos estiman que hay 50 clientes activos utilizando el kit que han tratado de infectar a tres millones de máquinas durante ese periodo de tiempo, teniendo éxito contra 1,25 millones, o el 34 por ciento de las máquinas.
"Esto es muy alto para un kit de explotación", dijo Arseny Levin, un investigador de seguridad de Trustwave, que estima las tasas de éxito promedio de campañas entre 10 a 15 por ciento.
La reciente filtración de datos de Hacking Team y la exposición de una serie de vulnerabilidades de día cero y exploits probablemente ha inflado la tasa de éxito de esta campaña, dijo Levin. Esta versión de la plataforma Rig, dijo, ya ha integrado una de ellas, CVE-2015-5122, una vulnerabilidad en Adobe Flash que fue parchada el 14 de julio.
La mayoría de las fuentes de tráfico implicados en esta campaña proceden de publicidad maliciosa; los atacantes han logrado integrar archivos Flash malintencionados en los anuncios digitales alojados en una serie de sitios web populares en todo el mundo. Malvertising es una epidemia habilitada por debilidades en los procesos y las prácticas de seguridad de las redes publicitarias que permiten a hackers atrapar a las víctimas a escala. Ahora junta eso con el software desactualizado, y es una receta para problemas.
Se esperaba que Trustwave esta semana en Black Hat libere una larga lista de sitios web comprometidos que participan en esta campaña, pero ha contenido esa decisión, ya que aún no ha notificado con éxito todas las partes implicadas.
La campaña está en curso y la mayoría de las víctimas son en Brasil (cerca de 451.000) y Vietnam (303000). Trustwave dijo que hay 46.000 víctimas en los Estados Unidos y notablemente menos en el Reino Unido y Canadá. Levin dijo que los criminales detrás de la plataforma están ganando el dinero en efectivo, cerca de 25.000 dólares mensuales, en gran parte por el alquiler del kit a razón de $100 por mes por cliente.
En febrero, hubo una fuga parcial de código fuente de del Rig Exploit Kit publicado en Internet. El francés vigilante de exploit kits Kafeine encontró la fuga anunciada en un foro de hackers que no es utilizado por la pandilla detrás de la plataforma, que lo llevó a creer que algún tipo de disputa llevó a la fuga. Otro investigador en el Reino Unido con el seudónimo de Malwaretech dijo que probablemente fue un distribuidor del Rig Exploit Kit que estaba tratando de estafar a los vendedores oficiales del Rig Exploit Kit; finalmente fue suspendido de la venta del kit y lo hizo en venganza.
Esta versión de la plataforma, Levin dijo, sólo se vende en privado, lo que indica que han abandonado el modelo de distribuidor también.
Mientras la publicidad maliciosa es responsable del 90 por ciento de las infecciones en esta campaña, Levin dijo que un número de sitios web comprometidos también están infectando con Rig 3.0, y las máquinas están siendo re-infectado con el malware actualizado.
Mientras tanto, la mejor mitigación es mantener el software de terceros como Flash y Java actualizados (o deshabilitados). Levin también sugiere la habilitación de funciones de clic to play del navegador que requiere a los usuarios hacer clic en un banner o anuncio para ejecutar un flash malicioso, por ejemplo.
Investigadores de Trustwave dijeron antes de la conferencia Black Hat de esta semana que han estado observando los servidores que participan en la campaña durante seis semanas. Ellos estiman que hay 50 clientes activos utilizando el kit que han tratado de infectar a tres millones de máquinas durante ese periodo de tiempo, teniendo éxito contra 1,25 millones, o el 34 por ciento de las máquinas.
"Esto es muy alto para un kit de explotación", dijo Arseny Levin, un investigador de seguridad de Trustwave, que estima las tasas de éxito promedio de campañas entre 10 a 15 por ciento.
La reciente filtración de datos de Hacking Team y la exposición de una serie de vulnerabilidades de día cero y exploits probablemente ha inflado la tasa de éxito de esta campaña, dijo Levin. Esta versión de la plataforma Rig, dijo, ya ha integrado una de ellas, CVE-2015-5122, una vulnerabilidad en Adobe Flash que fue parchada el 14 de julio.
La mayoría de las fuentes de tráfico implicados en esta campaña proceden de publicidad maliciosa; los atacantes han logrado integrar archivos Flash malintencionados en los anuncios digitales alojados en una serie de sitios web populares en todo el mundo. Malvertising es una epidemia habilitada por debilidades en los procesos y las prácticas de seguridad de las redes publicitarias que permiten a hackers atrapar a las víctimas a escala. Ahora junta eso con el software desactualizado, y es una receta para problemas.
Se esperaba que Trustwave esta semana en Black Hat libere una larga lista de sitios web comprometidos que participan en esta campaña, pero ha contenido esa decisión, ya que aún no ha notificado con éxito todas las partes implicadas.
La campaña está en curso y la mayoría de las víctimas son en Brasil (cerca de 451.000) y Vietnam (303000). Trustwave dijo que hay 46.000 víctimas en los Estados Unidos y notablemente menos en el Reino Unido y Canadá. Levin dijo que los criminales detrás de la plataforma están ganando el dinero en efectivo, cerca de 25.000 dólares mensuales, en gran parte por el alquiler del kit a razón de $100 por mes por cliente.
En febrero, hubo una fuga parcial de código fuente de del Rig Exploit Kit publicado en Internet. El francés vigilante de exploit kits Kafeine encontró la fuga anunciada en un foro de hackers que no es utilizado por la pandilla detrás de la plataforma, que lo llevó a creer que algún tipo de disputa llevó a la fuga. Otro investigador en el Reino Unido con el seudónimo de Malwaretech dijo que probablemente fue un distribuidor del Rig Exploit Kit que estaba tratando de estafar a los vendedores oficiales del Rig Exploit Kit; finalmente fue suspendido de la venta del kit y lo hizo en venganza.
Esta versión de la plataforma, Levin dijo, sólo se vende en privado, lo que indica que han abandonado el modelo de distribuidor también.
Mientras la publicidad maliciosa es responsable del 90 por ciento de las infecciones en esta campaña, Levin dijo que un número de sitios web comprometidos también están infectando con Rig 3.0, y las máquinas están siendo re-infectado con el malware actualizado.
Mientras tanto, la mejor mitigación es mantener el software de terceros como Flash y Java actualizados (o deshabilitados). Levin también sugiere la habilitación de funciones de clic to play del navegador que requiere a los usuarios hacer clic en un banner o anuncio para ejecutar un flash malicioso, por ejemplo.
