En los รบltimos dรญas, varias grandes pรกginas de Internet, como los portales de la BBC, MSN, The New York Times y AOL, han sido vรญctimas de un virus informรกtico del tipo malware el cual, a travรฉs de anuncios publicitarios, busca instalarse en las computadores de los visitantes de los portales, solicitando recompensas en criptomononedas.
La informaciรณn la dieron a conocer varias firmas de seguridad informรกtica. Portales como TrendMicro,ย TrustWaveย y MalwareBytesย dieron informaciรณn sobre el asunto. Segรบn la informaciรณn publicada en TrendMicro, esta campaรฑa de โmalvertisingโ o de anuncios maliciosos, se encuentra relacionada con el โAngler exploit kitโ, esto es, una caja de herramientas utilizada con el fin de aprovechar vulnerabilidades de seguridad para conseguir comportamientos no deseados en los sistemas. Este โexploitโ afectรณ a mรกs de diez mil usuarios en sus primeras 24 horas, segรบn comentan en el blog de TrendMicro.
Angler apunta a infectar una amplia variedad de herramientas de Internet integradas a sitios webs y publicidades, incluyendo Adobe Flash y Microsoft Silverlight. Segรบn los expertos de los portales mencionados, los ataques pudieran provenir de dos dominios sospechosos: trackmytraffic[.]biz y talk915[.]pw. Sin embargo, sigue siendo muy difรญcil para cualquier soluciรณn de seguridad identificar directamente la amenaza. TrustWave explica:
En los รบltimos dรญas, mientras repasรกbamos la telemetrรญa de nuestros productos, notamos que muchos sitios de alto perfil estaban atrayendo un archivo JSON, el cual se encuentra alojado en โbrentsmedia(.)comโ como parte de su proceso de sacar contenido publicitario de su proveedor de anuncios (โฆ) Este archivo JSON se refiere a un sospechoso, altamente ofuscado archivo JavaScript con mรกs de 12.000 lรญneas de cรณdigo. Nuestra sospecha creciรณ mรกs cuando la โdes-ofuscaciรณnโ del script revelรณ que trataba de enumerar la siguiente lista de productos de seguridad y herramientas, en orden de filtrar investigadores de seguridad y usuarios con protecciones que prevendrรญan la explotaciรณn
Trustwave
Luego, TrustWave muestra la presente lista.ย Explican que si el cรณdigo no encuentra ningรบn programa de seguridad, prosigue con el flujo y anexa un iframe al cuerpo del html que lleva a la pรกgina de destino de Angler. Tras un aprovechamiento exitoso, Angler infecta a la victima tanto con el troyano Bedep como con el ransomware o virus de recompensa TeslaCrypt.
El TeslaCrypt es uno de muchas variantes de ransomwares Bitcoin. En el 2015 fue conocido por afectar plataformas de juegos en lรญnea, infectando a sus usuarios.ย Este malware encripta archivos y documentos importantes, evita la recuperaciรณn de รฉstos por instalaciรณn de respaldos previamente hechos y pide un rescate en bitcoins para recuperarlos. A pesar de que esta versiรณn del TeslaCrypt parece ser mรกs sofisticada que su predecesora, hasta los momentos parece solo afectar a usuarios de Windows.
Segรบn informan los portales mencionados, Angler ha logrado afectar a portales como msn.com, nytimes.com, bbc.com, aol.com, my.xfinity.com, nfl.com, realtor.com, theweathernetwork.com, thehill.com, newsweek.com, answers.com, zerohedge.com, infolinks.com, asรญ como tambiรฉn afectado redes propias de Google, AppNexis, AOL y Rubicon.
Aquellos usuarios que ingresaron a alguna de estas pรกginas durante el perรญodo en que se encontraban infectadas, estuvieron expuestos al malware y a tener que pagar una recompensa en Bitcoin para eliminarlo. Para la cantidad de trรกfico que estas pรกginas obtienen diariamente, el nรบmero de afectados se ha mantenido bajo. Sin embargo, el virus se mantiene esparciรฉndose.
Otros dominios que se han identificado durante el curso de la campaรฑa han sido evangmedia[.]com y shangjiamedia[.]com. Como pudo observarse en la explicaciรณn de Trustwave, este adware se vale de las vulnerabilidades en seguridad para atacar, por lo que es necesario mantener actualizadas dichas herramientas para evitar ser vรญctimas del virus. Cada una de las pรกginas mencionadas ofrece productos que defenderรกn tu computadora ante la presencia de un potencial ataque.
Por su parte, el portal Arstechnica tambiรฉn recomienda decrecer las โplataformas de ataqueโ, esto implicarรญa desinstalar herramientas como Adobe Flash, Oracle Java, Microsoft Silverlightย y otras extensiones de buscadores de terceras partes a menos de que sean absolutamente requeridos.