{"id":183,"date":"2016-03-21T13:42:49","date_gmt":"2016-03-21T13:42:49","guid":{"rendered":"http:\/\/blog.alvarconsultores.com.uy\/?p=183"},"modified":"2016-03-21T13:42:49","modified_gmt":"2016-03-21T13:42:49","slug":"exploit-angler-causo-estragos-por-los-sitios-web-mas-visitados-de-internet","status":"publish","type":"post","link":"https:\/\/blog.alvarconsultores.com.uy\/?p=183","title":{"rendered":"Exploit Angler caus\u00f3 estragos por los sitios web m\u00e1s visitados de Internet."},"content":{"rendered":"

\"Sin<\/a><\/p>\n

El exploit Angler ha causado estragos en los principales sitios de Internet, as\u00ed lo explican varias firmas de seguridad que detectaron este inconveniente, varios navegadores web podr\u00edan haber quedado el riesgo para la entrada de ransomware y otras amenazas despu\u00e9s que este exploit se alojara en los sitios web m\u00e1s populares del mundo.<\/span><\/p>\n

Angler es un exploit que distribuye publicidad maliciosa, dicha publicidad est\u00e1 conectada a servidores que alojan Angler, que es un paquete de software capaz de analizar los equipos en busca de vulnerabilidades con el \u00fanico fin de ofrecer malware, comentan desde Trend Micro.<\/span><\/p>\n

Otra firma de seguridad que logr\u00f3 detectar la amenaza fue Trustwave, cuando el lunes pasado realizaba un art\u00edculo en su blog informando que hab\u00edan detectado una gran campa\u00f1a de publicidad maliciosa que relacionaban con el exploit Angler. Pero no se sab\u00eda con exactitud si ambas firmas estaban comentando sobre el mismo tema, porque en ese momento todo era muy incierto. Algo que s\u00ed escribieron en com\u00fan fue que la campa\u00f1a de publicidad maliciosa era capaz de abrir una backdoor llamada \u201cBEDEP\u201d que dejaba que los atacantes introduzcan malware en los equipos afectados. La firma Trustwave tambi\u00e9n detect\u00f3 que TeslaCrypt era otra amenaza que los cibercriminales estaban tratando de introducir a sus v\u00edctimas.<\/span><\/p>\n

Los cibercriminales, lejos de dar un paso sin haber revisado antes el camino a seguir, lograron apoderarse de un dominio llamado \u201cbrentsmedia.com\u201d. Este sitio web actualmente fuera de funcionamiento ofrec\u00eda diversos tipos de soluciones relacionadas con la publicidad en Internet. \u201cBrentsMedia era probablemente un negocio aut\u00e9ntico y pensamos que no conoc\u00edan la historia de Angler; seguramente los cibercriminales detr\u00e1s de Angler intentaban utilizar la reputaci\u00f3n del dominio para enga\u00f1ar a las compa\u00f1\u00edas y as\u00ed introducir publicidad maliciosa en sus campa\u00f1as\u201d, explicaban desde Trustwave. <\/span><\/p>\n

Las publicidades de esta campa\u00f1a eran publicadas en sitios muy visitados desde todo el mundo, los cibercriminales le entregaban a esos sitios un archivo JSON de Javascript de brentsmedia.com, que se trata de un archivo de intercambio de datos, vendr\u00eda a ser algo que descarga los anuncios que ser\u00e1n mostrados en los equipos de los usuarios. Lo extra\u00f1o de este archivo es que ten\u00eda 12.000 l\u00edneas de Javascript no muy claras, y eso se les hac\u00eda sospechoso a los investigadores de Trustwave. El m\u00e9todo de funcionamiento era el siguiente; el Javascript en gran parte trata de identificar si hay productos o soluciones de seguridad instaladas en el equipo de la v\u00edctima, si no los encuentra procede con la carga de una segunda \u201cp\u00e1gina de aterrizaje\u201d alojada en otro dominio donde est\u00e1 el exploit Angler.<\/span><\/p>\n

Luego de los anuncios por parte de Trustwave a las empresas de publicidad, los anuncios maliciosos que se encontraban en una de las empresas fueron borrados, la otra todav\u00eda no pudo ser localizada y se est\u00e1 esperando una respuesta. Desde Trustwave insisten en no revelar el listado completo de sitios afectados, pero seg\u00fan se pudo saber algunos de ellos son Answers.com, ZeroHedge, BBC, MSN, Newsweek, New York Times, entre otros. <\/span><\/p>\n

El hecho que los cibercriminales ubiquen publicidades maliciosas en sitios web de alto tr\u00e1fico les proporciona poder infectar un mayor n\u00famero de equipos en un per\u00edodo de tiempo m\u00e1s corto, obteniendo resultados mucho m\u00e1s r\u00e1pidos en comparaci\u00f3n a las cadenas de spam. Si bien la campa\u00f1a est\u00e1 bajo control, cuando estuvo activa pudo haber infectado a miles y miles de usuarios durante el comienzo de la semana, explicaba Joseph C. Chen, investigador de fraude en Trend Micro. El investigador informa que los principales sitios ya se deshicieron de la publicidad maliciosa, pero la campa\u00f1a de Angler seguir\u00e1 trabajando por la red buscando m\u00e1s v\u00edctimas y por lo tanto el riesgo a\u00fan est\u00e1 latente, los usuarios deber\u00e1n tener mucho cuidado y tener una soluci\u00f3n antivirus actualizada para evitar este tipo de inconvenientes, ya que no solo estar\u00edamos introduciendo malware, nuestros archivos podr\u00edan quedar cifrados a causa de TeslaCrypt. <\/span><\/p>\n

Como dato interesante y quiz\u00e1s relacionado con el gran ataque de Angler, el viernes pasado hubo un ataque muy parecido utilizando un exploit diferente llamado Rig. Desde la firma Malwarebytes comentan que este ataque tambi\u00e9n atac\u00f3 a grandes compa\u00f1\u00edas publicitarias, pero no a gran escala, y quiz\u00e1s podr\u00eda haber sido una prueba de fuego para el gran ataque que afect\u00f3 a varios sitios el pasado domingo. \u00a0Las herramientas de seguridad que utilizan las compa\u00f1\u00edas de publicidad en l\u00ednea tratan de evitar este tipo de fraudes, pero todav\u00eda no son tan perfectas para detectar amenazas de este tipo.<\/span><\/a><\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

El exploit Angler ha causado estragos en los principales sitios de Internet, as\u00ed lo explican varias firmas de seguridad que detectaron este inconveniente, varios navegadores web podr\u00edan haber quedado el riesgo para la entrada de ransomware y otras amenazas despu\u00e9s que este exploit se alojara en los sitios web m\u00e1s populares del mundo. Angler es […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-183","post","type-post","status-publish","format-standard","hentry","category-sin-categoria"],"_links":{"self":[{"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/posts\/183","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=183"}],"version-history":[{"count":1,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/posts\/183\/revisions"}],"predecessor-version":[{"id":185,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=\/wp\/v2\/posts\/183\/revisions\/185"}],"wp:attachment":[{"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=183"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=183"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.alvarconsultores.com.uy\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=183"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}