La firma de seguridad ESET ha informado de que millones de usuarios han estado expuestos a código malicioso se sirve de los píxeles en los anuncios de banner comprometidas. El objetivo final de la operación fue la instalación de troyanos y spyware en los sistemas de destino.
La campaña ha sido Stegano y ha sido la difusión de anuncios maliciosos de muchos sitios de noticias de renombre. Los atacantes han estado aprovechando Internet Explorer, en busca de vulnerabilidades en Adobe Flash.
Más particularmente, atacantes estaban usando una conocida vulnerabilidad de Internet Explorer, CVE-2016-0162, a través del cual la secuencia de comandos codificado intenta comprobar que no se está ejecutando en un entorno supervisado, como la máquina de un analista de malware. La secuencia de comandos codificado intenta comprobar que no se está ejecutando en un entorno monitorizado, investigadores decir.
Si el script no detecta ninguna señal de monitorización, redirecciona a la Stegano explotar página de destino del kit, a través del servicio TinyURL. La página de inicio carga un archivo Flash que es capaz de explotar las vulnerabilidades de tres diferentes (CVE-2015-8651, CVE-2016-1019, CVE-2016-4117), dependiendo de la versión de Flash que se encuentra en el sistema de la víctima.
Relacionado: CVE-2016-7855 Bug flash explotado en ataques limitados
El malware instalado en estos ataques puede robar credenciales de la contraseña de correo electrónico con la ayuda de su keylogging y características de pantalla agarrando. Lo peor es que el ataque es difícil de detectar. Para la infección se lleve a cabo, atacantes estaban envenenando a los píxeles utilizados en los anuncios. Más específicamente, los atacantes se escondieron código malicioso en los parámetros que controlan la transparencia de los píxeles en el anuncio de la bandera. Este es de hecho cómo la campaña pasó desapercibido por la red de publicidad legítima.
El escenario explotar se conoce como el Stegano explotar kit.
Una variante anterior de este sigiloso Exploit Pack ha estado ocultando a la vista desde al menos finales 2014, cuando lo vimos dirigido a los clientes holandeses. En primavera 2015 los atacantes se centraron en la República Checa y ahora han cambiado su enfoque hacia Canadá, Gran Bretaña, Australia, España e Italia.
En esta campaña, criminales han mejorado sus tácticas. Ahora fueron capaces de identificar países concretos gracias a las redes legítimos que fueron capaces de poner en peligro.
Los investigadores dicen que incluso supera a otros Stegano EKS importantes, como pescador y Neutrino en términos de referencias, o los sitios web donde los atacantes logró instalar banners maliciosos. Investigador han visto algunos grandes dominios y sitios web de noticias visitados por millones de usuarios al día en calidad de remitentes que alojan los malos anuncios.
En cuanto a las cargas útiles de la operación Stegano, los investigadores han observado los siguientes software malicioso que había sido descargado en computadoras comprometidas:
- Win32 / TrojanDownloader.Agent.CFH
- Win32 / TrojanDownloader.Dagozill.B
- Win32 / GenKryptik.KUM
- Win32 / Kryptik.DLIF
¿Cómo pueden los usuarios estar protegido contra la explotación Stegano?
Debido a que la operación se basa en vulnerabilidades conocidas, los usuarios sólo deben ejecutar el software con todos los parches. El empleo de una solución de seguridad de Internet de gran alcance es también una necesidad.
Escáner Spy Hunter sólo detectará la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter