Yahoo, visitantes de AOL afectados por malware en anuncios, ransomware en acción

El malvertising impacta a los visitantes de Yahoo y AOL, propaga ransomware a través del kit de explotación FlashPack

Varios sitios web de alto tráfico, incluidos Yahoo, AOL, Match.com y The Atlantic, se encontraron sirviendo anuncios maliciosos a sus visitantes. El malware en acción, “CryptoWall 2.0 ransomware”, impactó a los visitantes que ejecutaban una versión vulnerable/no parcheada de Adobe Flash Player.

Los investigadores de Proofpoint, que informaron sobre la campaña de malvertising, dijeron que el malware ni siquiera necesitaba un clic para instalarse, se instalaba automáticamente utilizando una vulnerabilidad en versiones anteriores de Flash Player.

Sin tener que hacer clic en nada, los visitantes de los sitios web afectados pueden ser infectados sigilosamente con el ransomware CryptoWall 2.0. Usando Adobe Flash, los malvertisements silenciosamente “extraen” exploits maliciosos del FlashPack Exploit Kit. Los exploits atacan una vulnerabilidad en el navegador de los usuarios finales e instalan CryptoWall 2.0 en las computadoras de los usuarios finales. Dijo Proofpoint en una publicación de blog.

Una vez que el malware infecta la computadora de la víctima, encripta el disco duro de la víctima y pide un rescate que debe ser entregado a través de Internet a cambio de la decripción de los archivos de la víctima a su estado original.

Más de 3 millones de visitantes por día estuvieron potencialmente expuestos a esta campaña de malvertising, que ha generado un estimado de 25,000 dólares estadounidenses por día para los atacantes.

Lista de dominios que fueron afectados junto con sus clasificaciones globales de Alexa según lo indicado en el blog de Proofpoint.

Yahoo! Finanzas, Fantasía y Deportes (yahoo.com, Global 4, US 4),
AOL (realestate.aol.com, US 37, Global 119),
The Atlantic (theatlantic.com, US 386, Global 1,206),
9GAG (9gag.com, US 528, Global 201,),
match.com (US 203, Global 631),
The Sydney Morning Herald (www.smh.com.au, Australia 13, Global 780),
realestate.com.au (Australia 17, Global 1,656),
The Age (theage.com.au, Australia 34),
stuff.co.nz (Nueva Zelanda 9),
societe.com (Francia 54, Global 1,649),
Dumpert (dumpert.nl, Países Bajos 24),
Flirchi (flirchi.com, India 106, Global 1,129),
Weatherzone Australia (weatherzone.com.au, Australia 111),
Brisbane Times (brisbanebrisbanetimes.com.au, Australia 183),
RSVP (rsvp.com.au, Australia 351),
The Canberra Times (canberratimes.com.au, Australia 403),
Time Out (US 1,145, Global 1,816),
The Beacon-News (beaconnews.suntimes.com, US 1,178),
Merca2.0 (merca20.com, México 229),
clicccar.com (Japón 1,124),
iPhone para Hong Kong (iphone4hongkong.com, HK 112),
Noticias Argentinas (noticiasargentinas.com, Argentina 784)

El malware en este caso, Cryptowall 2.0 Ransomware, descarga un cliente de Tor en la máquina de la víctima, que utiliza para conectarse a su servidor de comando y control (c&c) y pide un equivalente de 500$ en Bitcoin como rescate.

Proofpoint determinó que los sitios web afectados no estaban infectados, sino que la red publicitaria en la que estos sitios confían para servir anuncios dinámicos. Estos anuncios dinámicos, a su vez, estaban sirviendo el CryptoWall a las víctimas. La red de anuncios, incluidos OpenX, Rubicon Project y Yahoo Ad Exchange, que estaban sirviendo sin saber estos anuncios maliciosos, fueron informados sobre las campañas de malvertising y, a partir del sábado, se tomaron las medidas adecuadas para frenar la campaña de malvertising en estas redes.