El exploit Angler ha causado estragos en los principales sitios de Internet, así lo explican varias firmas de seguridad que detectaron este inconveniente, varios navegadores web podrían haber quedado el riesgo para la entrada de ransomware y otras amenazas después que este exploit se alojara en los sitios web más populares del mundo.
Angler es un exploit que distribuye publicidad maliciosa, dicha publicidad está conectada a servidores que alojan Angler, que es un paquete de software capaz de analizar los equipos en busca de vulnerabilidades con el único fin de ofrecer malware, comentan desde Trend Micro.
Otra firma de seguridad que logró detectar la amenaza fue Trustwave, cuando el lunes pasado realizaba un artículo en su blog informando que habían detectado una gran campaña de publicidad maliciosa que relacionaban con el exploit Angler. Pero no se sabía con exactitud si ambas firmas estaban comentando sobre el mismo tema, porque en ese momento todo era muy incierto. Algo que sí escribieron en común fue que la campaña de publicidad maliciosa era capaz de abrir una backdoor llamada “BEDEP” que dejaba que los atacantes introduzcan malware en los equipos afectados. La firma Trustwave también detectó que TeslaCrypt era otra amenaza que los cibercriminales estaban tratando de introducir a sus víctimas.
Los cibercriminales, lejos de dar un paso sin haber revisado antes el camino a seguir, lograron apoderarse de un dominio llamado “brentsmedia.com”. Este sitio web actualmente fuera de funcionamiento ofrecía diversos tipos de soluciones relacionadas con la publicidad en Internet. “BrentsMedia era probablemente un negocio auténtico y pensamos que no conocían la historia de Angler; seguramente los cibercriminales detrás de Angler intentaban utilizar la reputación del dominio para engañar a las compañías y así introducir publicidad maliciosa en sus campañas”, explicaban desde Trustwave.
Las publicidades de esta campaña eran publicadas en sitios muy visitados desde todo el mundo, los cibercriminales le entregaban a esos sitios un archivo JSON de Javascript de brentsmedia.com, que se trata de un archivo de intercambio de datos, vendría a ser algo que descarga los anuncios que serán mostrados en los equipos de los usuarios. Lo extraño de este archivo es que tenía 12.000 líneas de Javascript no muy claras, y eso se les hacía sospechoso a los investigadores de Trustwave. El método de funcionamiento era el siguiente; el Javascript en gran parte trata de identificar si hay productos o soluciones de seguridad instaladas en el equipo de la víctima, si no los encuentra procede con la carga de una segunda “página de aterrizaje” alojada en otro dominio donde está el exploit Angler.
Luego de los anuncios por parte de Trustwave a las empresas de publicidad, los anuncios maliciosos que se encontraban en una de las empresas fueron borrados, la otra todavía no pudo ser localizada y se está esperando una respuesta. Desde Trustwave insisten en no revelar el listado completo de sitios afectados, pero según se pudo saber algunos de ellos son Answers.com, ZeroHedge, BBC, MSN, Newsweek, New York Times, entre otros.
El hecho que los cibercriminales ubiquen publicidades maliciosas en sitios web de alto tráfico les proporciona poder infectar un mayor número de equipos en un período de tiempo más corto, obteniendo resultados mucho más rápidos en comparación a las cadenas de spam. Si bien la campaña está bajo control, cuando estuvo activa pudo haber infectado a miles y miles de usuarios durante el comienzo de la semana, explicaba Joseph C. Chen, investigador de fraude en Trend Micro. El investigador informa que los principales sitios ya se deshicieron de la publicidad maliciosa, pero la campaña de Angler seguirá trabajando por la red buscando más víctimas y por lo tanto el riesgo aún está latente, los usuarios deberán tener mucho cuidado y tener una solución antivirus actualizada para evitar este tipo de inconvenientes, ya que no solo estaríamos introduciendo malware, nuestros archivos podrían quedar cifrados a causa de TeslaCrypt.
Como dato interesante y quizás relacionado con el gran ataque de Angler, el viernes pasado hubo un ataque muy parecido utilizando un exploit diferente llamado Rig. Desde la firma Malwarebytes comentan que este ataque también atacó a grandes compañías publicitarias, pero no a gran escala, y quizás podría haber sido una prueba de fuego para el gran ataque que afectó a varios sitios el pasado domingo. Las herramientas de seguridad que utilizan las compañías de publicidad en línea tratan de evitar este tipo de fraudes, pero todavía no son tan perfectas para detectar amenazas de este tipo.