Ataques publicitarios maliciosos (Malvertising) han estado plagando paginas principales y sus visitantes en estos últimos años.
Mientras que algunos son fáciles de detectar y deshacerse de ellos, otros tienden a ser mucho más sofisticados y difícil de averiguar su modo de operación.
El pasado 11 de Abril, los investigadores de MalwareBytes descubrieron un anuncio malicioso que se muestra en huffingtonpost.com, así como otros lugares de interés, como en Zillow.com. Este anuncio se utiliza para entregar el ransomware Cryptowall través de flash.
El anuncio fue cargado por un anunciante de terceros (servedbyadbutler.com) llamado inicialmente por delivery.first-impresión, donde ganó la subasta de licitación en tiempo real por $ 2.31 CPM (coste por mil impresiones).
Éste es diferente en que el anuncio en sí (que podría ser para cualquier marca) también se utiliza como el exploit. Esta es la obra del flash EK, que se aprovecha usando el dicho 'dos pájaros de un tiro ".
Ganar la confianza de una agencia de publicidad y empaquetar el ataque en el anuncio, en sí es un poco atrevido y arriesgado. Pero sin embargo lo logró y los malos detrás de él fueron capaces de empujar el ransomware Cryptowall a los visitantes que se estaban ejecutando versiones de Flash Player obsoletas.
La cuenta del usuario que estaba ejecutando esta campaña ya fue suspendida, según confirmaron los dueños de este programa de publicidad.
Como recordatorio, si ustedes deciden utilizar Flash, asegurense de que se encuentra siempre actualizado o aprendan a activarlo bajo demanda siguiendo este articulo:
Cómo asegurarte de que Adobe Flash está actualizado y habilitar click-to-play
Mientras que algunos son fáciles de detectar y deshacerse de ellos, otros tienden a ser mucho más sofisticados y difícil de averiguar su modo de operación.
El pasado 11 de Abril, los investigadores de MalwareBytes descubrieron un anuncio malicioso que se muestra en huffingtonpost.com, así como otros lugares de interés, como en Zillow.com. Este anuncio se utiliza para entregar el ransomware Cryptowall través de flash.
El anuncio fue cargado por un anunciante de terceros (servedbyadbutler.com) llamado inicialmente por delivery.first-impresión, donde ganó la subasta de licitación en tiempo real por $ 2.31 CPM (coste por mil impresiones).
http://delivery.first-impression.com/delivery?action=serve&ssp_id={sanitized}&ssp_wsid={sanitized}&dssp_id={sanitized}&domain_id={sanitized}&ad_id={sanitized}&margin=0.55&cid={sanitized}&bn=inferno&ip_addr={sanitized}&ua={sanitized}&top_level_id={sanitized}&second_level_id={sanitized}6&page=huffingtonpost.com&retargeted=null&vender_data_used=0&height=250&width=300&idfa=null&android_id=null&android_ad_id=null&bid_price=2.699&count_notify=1&win_price=2.31La mayoría de los anuncios maliciosos en Flash que estamos acostumbrados a ver redirige a páginas externas, a menudo conduce a un paquete de exploits.
Éste es diferente en que el anuncio en sí (que podría ser para cualquier marca) también se utiliza como el exploit. Esta es la obra del flash EK, que se aprovecha usando el dicho 'dos pájaros de un tiro ".
Ganar la confianza de una agencia de publicidad y empaquetar el ataque en el anuncio, en sí es un poco atrevido y arriesgado. Pero sin embargo lo logró y los malos detrás de él fueron capaces de empujar el ransomware Cryptowall a los visitantes que se estaban ejecutando versiones de Flash Player obsoletas.
La cuenta del usuario que estaba ejecutando esta campaña ya fue suspendida, según confirmaron los dueños de este programa de publicidad.
Como recordatorio, si ustedes deciden utilizar Flash, asegurense de que se encuentra siempre actualizado o aprendan a activarlo bajo demanda siguiendo este articulo:
Cómo asegurarte de que Adobe Flash está actualizado y habilitar click-to-play
