RoughTed es una campaña de publicidad maliciosa a gran escala que vio un pico en marzo de este año, pero ha estado activo durante al menos más de un año. Ambos sistemas operativos Windows y Mac están dirigidos, así como iOS y Android. El funcionamiento es bastante raro en su globalidad, habiendo utilizado una variedad de enfoques maliciosos de paquetes de exploits a estafas en línea, tales como las estafas de apoyo falsa tecnología, actualizaciones falsas, las extensiones del navegador sin escrúpulos, y así.
RoughTed también se ha detectado el uso de geolocalización para entregar cargas útiles pertinentes a las víctimas exactas. Una de las cargas útiles desplegadas recientemente es el infame cerber ransomware.
RoughTed Campaña Malvertising en detalle
Jérôme Segura, investigador de Malwarebytes, se estima que el tráfico enviado a través de dominios relacionados con RoughTed acumula más de la mitad de mil millones de visitas. Este tráfico también llevó a muchas infecciones exitosas y esto no es sorprendente, ya que se combinó con métodos altamente eficaces que atraen a los usuarios y de derivación ad-bloqueantes.
El que está detrás de la campaña de publicidad maliciosa también ha sido el aprovechamiento de la infraestructura de nube de Amazon, especialmente su Content Delivery Network. Sin embargo, esto es sólo una pequeña parte del puzzle en el anuncio de redirecciones de varios intercambios de anuncios se mezclan en hacer descifrar el funcionamiento bastante desafiante.
Hay varios factores que en esta operación se destacan. Los investigadores fueron capaces de determinar que el tráfico proviene de miles de editores, y algunos de ellos incluso fueron clasificado en la parte superior de Alexa 500 sitios web. Otro hecho que vale la pena mencionar es que los dominios asociados acumulan sólo que más de la mitad de mil millones de visitas en el pasado 3 meses.
Huellas digitales y trucos sin pasar ad-bloqueantes también se incluyeron en las campañas de publicidad maliciosa. Lo peor, sin embargo, RoughTed es que ha ayudado a entregar una serie de cargas maliciosas en diversas plataformas que van desde estafas en línea a malware y ransomware.
Los investigadores observaron campañas RoughTed de cerca y se dio cuenta de la roughted[.]con de referencia, que fue volver a dirigir a la RIG explotar kit. Mientras estaban minando su conjunto de datos, empezaron a ver ese patrón por más de un centenar de otros dominios.
La mayoría de estos dominios fueron creados mediante el registrador EvoPlus en pequeños lotes con un nuevo .ru o .ua dirección de correo electrónico. Otra similitud que estos dominios comparten es que están siendo desplegados como un medio para eludir ad-bloqueadores.
La mayor parte del tráfico para la campaña proviene de sitios de streaming de vídeo o de intercambio de archivos en combinación con acortadores de URL, que es una cosa típica de publicidad maliciosa.
Como se dijo anteriormente, muchos de los dominios se clasifican en la parte superior de Alexa 1000. Los visitantes de estos sitios web están dirigidos con algunos de los anuncios que se originan de RoughTed.
investigadores Sucure, Por otra parte, hizo otra observación curiosa en cuanto a la implicación de los sitios web ‘personal’ en la campaña de publicidad maliciosa. Al parecer,, webmasters con conocimiento integran un script de código de anuncio de la compañía de publicidad Ad-Maven en sus páginas a obtener beneficios económicos de su sitio web.
Máquinas de Mac también atacaron
Los usuarios de Mac también deben ser conscientes de esta campaña de publicidad maliciosa. Una falsa actualización de Flash Player se ha detectado la orientación a los usuarios de Mac, disfrazado como un archivo que viene de Apple. Es innecesario decir pero los usuarios deben tener mayor cuidado con las actualizaciones que se “sirvieron” de esta manera. Desafortunadamente, cibercriminales son muy buenos en la creación de páginas difíciles y así pueden usar tácticas de scareware para mejorar las posibilidades de éxito de un compromiso.
El sistema operativo Windows, Por otra parte, se ha apuntado con actualizaciones falsas de Java y Flash, y también con los códecs falsos. Páginas de engañar a los usuarios para que instalen dichas actualizaciones falsas se mezclan con el adware.
Chrome dirigida con extensiones de explorador de Rogue
A pesar de que Chrome se refiere a menudo como uno de los navegadores más seguros, que ha sido víctima de la campaña RoughTed. Los usuarios pueden incluso ser obligados a descargar las extensiones de Chrome maliciosos. La ventana emergente que conduce a la descarga puede contener un texto como “Añadir extensión para dejar”O algo por el estilo.
Adicionalmente, tanto para iOS y Android parecen ser el blanco de la campaña.
En una palabra, los investigadores dicen que es muy problemático, el hecho de que el contenido con publicidad se despliega para distribuir estafas o malware. Lo que es peor es que incluso los usuarios con Ad-bloqueantes no se salvan y caen víctimas de la campaña. Quien es responsable? Es que las redes de anuncios o se trata de los editores que deliberadamente exponer a los usuarios a código malicioso en el interés de los ingresos por publicidad.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme:
¿Le resulta extraño que todo comenzó en marzo? Las actualizaciones de marzo de EM? Los que me han atornilladas cabo de unos 500 horas de tiempo de trabajo! grrrr! Han corrido todo tipo de programas de todo tipo de servicios y se puede encontrar nada en mi equipo que no se supone que debe estar allí, pero hoy en día, Estoy muy seguro de lo que se supone que es allí de todos modos!!
Sí, Microsoft tiene una gran cantidad de trabajo por hacer, con respecto a cómo se presentan las actualizaciones… He visto a los usuarios que no pueden hacer nada ni siquiera guardar su trabajo y simplemente esperar a que el temporizador de cuenta atrás a agotarse y sus reinicia el equipo, ya que las actualizaciones se han retrasado durante demasiado tiempo y tienen que ser establecido.. Realmente pone de los nervios.. PD: esto fue en 8, yo creo..