En los últimos días, varias grandes páginas de Internet, como los portales de la BBC, MSN, The New York Times y AOL, han sido víctimas de un virus informático del tipo malware el cual, a través de anuncios publicitarios, busca instalarse en las computadores de los visitantes de los portales, solicitando recompensas en criptomononedas.
La información la dieron a conocer varias firmas de seguridad informática. Portales como TrendMicro, TrustWave y MalwareBytes dieron información sobre el asunto. Según la información publicada en TrendMicro, esta campaña de ‘malvertising’ o de anuncios maliciosos, se encuentra relacionada con el ‘Angler exploit kit’, esto es, una caja de herramientas utilizada con el fin de aprovechar vulnerabilidades de seguridad para conseguir comportamientos no deseados en los sistemas. Este ‘exploit’ afectó a más de diez mil usuarios en sus primeras 24 horas, según comentan en el blog de TrendMicro.
Angler apunta a infectar una amplia variedad de herramientas de Internet integradas a sitios webs y publicidades, incluyendo Adobe Flash y Microsoft Silverlight. Según los expertos de los portales mencionados, los ataques pudieran provenir de dos dominios sospechosos: trackmytraffic[.]biz y talk915[.]pw. Sin embargo, sigue siendo muy difícil para cualquier solución de seguridad identificar directamente la amenaza. TrustWave explica:
En los últimos días, mientras repasábamos la telemetría de nuestros productos, notamos que muchos sitios de alto perfil estaban atrayendo un archivo JSON, el cual se encuentra alojado en “brentsmedia(.)com” como parte de su proceso de sacar contenido publicitario de su proveedor de anuncios (…) Este archivo JSON se refiere a un sospechoso, altamente ofuscado archivo JavaScript con más de 12.000 líneas de código. Nuestra sospecha creció más cuando la ‘des-ofuscación’ del script reveló que trataba de enumerar la siguiente lista de productos de seguridad y herramientas, en orden de filtrar investigadores de seguridad y usuarios con protecciones que prevendrían la explotación
Trustwave
Luego, TrustWave muestra la presente lista. Explican que si el código no encuentra ningún programa de seguridad, prosigue con el flujo y anexa un iframe al cuerpo del html que lleva a la página de destino de Angler. Tras un aprovechamiento exitoso, Angler infecta a la victima tanto con el troyano Bedep como con el ransomware o virus de recompensa TeslaCrypt.
El TeslaCrypt es uno de muchas variantes de ransomwares Bitcoin. En el 2015 fue conocido por afectar plataformas de juegos en línea, infectando a sus usuarios. Este malware encripta archivos y documentos importantes, evita la recuperación de éstos por instalación de respaldos previamente hechos y pide un rescate en bitcoins para recuperarlos. A pesar de que esta versión del TeslaCrypt parece ser más sofisticada que su predecesora, hasta los momentos parece solo afectar a usuarios de Windows.
Según informan los portales mencionados, Angler ha logrado afectar a portales como msn.com, nytimes.com, bbc.com, aol.com, my.xfinity.com, nfl.com, realtor.com, theweathernetwork.com, thehill.com, newsweek.com, answers.com, zerohedge.com, infolinks.com, así como también afectado redes propias de Google, AppNexis, AOL y Rubicon.
Aquellos usuarios que ingresaron a alguna de estas páginas durante el período en que se encontraban infectadas, estuvieron expuestos al malware y a tener que pagar una recompensa en Bitcoin para eliminarlo. Para la cantidad de tráfico que estas páginas obtienen diariamente, el número de afectados se ha mantenido bajo. Sin embargo, el virus se mantiene esparciéndose.
Otros dominios que se han identificado durante el curso de la campaña han sido evangmedia[.]com y shangjiamedia[.]com. Como pudo observarse en la explicación de Trustwave, este adware se vale de las vulnerabilidades en seguridad para atacar, por lo que es necesario mantener actualizadas dichas herramientas para evitar ser víctimas del virus. Cada una de las páginas mencionadas ofrece productos que defenderán tu computadora ante la presencia de un potencial ataque.
Por su parte, el portal Arstechnica también recomienda decrecer las ‘plataformas de ataque’, esto implicaría desinstalar herramientas como Adobe Flash, Oracle Java, Microsoft Silverlight y otras extensiones de buscadores de terceras partes a menos de que sean absolutamente requeridos.
