Kyle e Stan – Uma rede malvertising nova marca vem afetando usuários de Windows e Mac que visitam páginas web populares, como amazon.com e youtube.com desde maio deste ano. Os cibercriminosos usam Yahoo, domínios Amazon e YouTube para usuários infectar com o adware, spyware e navegador seqüestradores. Para servir de malware através de anúncios online é um problema grave e persistente na Web que assegura que vários malware é espalhado através de redes de publicidade para os usuários de páginas da web populares.
A Natureza do Kyle e Stan Malvertising de rede
A rede malicioso foi dado o nome de Kyle e Stan com base no fato de que os criadores da rede malvertising incluído “Kyle” e “stan” em centenas de seus subdomínios. Até agora, a rede é composta por mais de 700 domínios de 74 sites populares e criou 9 541 ligações a potenciais vítimas. Uma vez que os domínios utilizados pela rede tem um padrão de nomenclatura distinta, pesquisadores de segurança acreditam que esta é apenas a “ponta do iceberg.” Esse padrão sugere que um grande número de domínios são registrados automaticamente.
“O grande número de domínios permite que os atacantes para usar um certo domínio apenas para um tempo muito curto, queimá-lo e passar para usar outro para ataques futuros. Isso ajuda a evitar a reputação e soluções de segurança baseadas lista negra. No geral, estamos diante de uma rede de distribuição de malware muito robusta e bem projetada que não será removida até que as mentes por trás disso sejam identificadas,” explica Armin Pelkmann da equipe de pesquisa de segurança Talos da Cisco.
Feito sob medida e embalado individualmente: Uma peça única de malware para cada usuário
Malvertising funciona da seguinte maneira: o anúncio infectado é inserido no fluxo de uma rede de anúncios online já ativa que o entrega a diferentes páginas da web. Assim que o usuário clicar em não, o anúncio, ele está sendo redirecionado para outro site onde o usuário é induzido a instalar malware em seu computador por meio de táticas de engenharia social. Este também é o padrão de infecção usado por Kyle e Stan. Pesquisadores relatam que usuários de Mac e Windows estão sendo redirecionados para diferentes malwares, para que ambos os sistemas operacionais sejam infectados. Até agora, os invasores usam uma variedade de spywares, adware e sequestradores de navegador, mas outros tipos de malware também podem entrar em jogo no futuro. Os droppers usados neste esquema dependem de criptografia para adquirir uma soma de verificação diferente para cada ameaça.
As pessoas por trás da rede de malvertising ainda não foram identificadas. Está ativo desde maio deste ano, com alta atividade registrada em junho e julho.
