Yahoo, AOL visitatori colpiti da Malware negli annunci, Ransomware in azione

Il malvertising colpisce i visitatori di Yahoo e AOL, diffonde Ransomware tramite il kit di exploit FlashPack

Diversi siti web ad alto traffico, tra cui Yahoo, AOL, Match.com e The Atlantic, sono stati trovati a servire annunci malevoli ai loro visitatori. Il malware in azione, “CryptoWall 2.0 ransomware”, ha colpito i visitatori che eseguivano una versione vulnerabile/non aggiornata di Adobe Flash player.

I ricercatori di Proofpoint, che hanno segnalato la campagna di malvertising, hanno detto che il malware non aveva nemmeno bisogno di un clic per essere installato, si installava automaticamente sfruttando una vulnerabilità nelle versioni più vecchie di Flash Player.

Senza dover cliccare su nulla, i visitatori dei siti web colpiti possono essere infettati furtivamente dal ransomware CryptoWall 2.0. Utilizzando Adobe Flash, i malvertisement silenziosamente “estraggono” exploit malevoli dal FlashPack Exploit Kit. Gli exploit attaccano una vulnerabilità nel browser degli utenti finali e installano CryptoWall 2.0 sui computer degli utenti finali. Ha detto Proofpoint in un post sul blog.

Una volta che il malware infetta il computer della vittima, cripta il disco rigido della vittima e chiede un riscatto da consegnare su Internet in cambio della decrittazione dei file della vittima al loro stato originale.

Più di 3 milioni di visitatori al giorno sono stati potenzialmente esposti a questa campagna di malvertising, che ha generato un guadagno stimato di 25.000 dollari USA al giorno per gli attaccanti.

Elenco dei domini che sono stati colpiti insieme ai loro ranking globali di Alexa come indicato nel blog di Proofpoint.

Yahoo! Finance, Fantasy e Sports (yahoo.com, Globale 4, USA 4),
AOL (realestate.aol.com, USA 37, Globale 119),
The Atlantic (theatlantic.com, USA 386, Globale 1.206),
9GAG (9gag.com, USA 528, Globale 201,),
match.com (USA 203, Globale 631),
The Sydney Morning Herald (www.smh.com.au, Australia 13, Globale 780),
realestate.com.au (Australia 17, Globale 1.656),
The Age (theage.com.au, Australia 34),
stuff.co.nz (Nuova Zelanda 9),
societe.com (Francia 54, Globale 1.649),
Dumpert (dumpert.nl, Paesi Bassi 24),
Flirchi (flirchi.com, India 106, Globale 1.129),
Weatherzone Australia (weatherzone.com.au, Australia 111),
Brisbane Times (brisbanebrisbanetimes.com.au, Australia 183),
RSVP (rsvp.com.au, Australia 351),
The Canberra Times (canberratimes.com.au, Australia 403),
Time Out (USA 1.145, Globale 1.816),
The Beacon-News (beaconnews.suntimes.com, USA 1.178),
Merca2.0 (merca20.com, Messico 229),
clicccar.com (Giappone 1.124),
iPhone per Hong Kong (iphone4hongkong.com, HK 112),
Noticias Argentinas (noticiasargentinas.com, Argentina 784)

Il malware in questo caso, Cryptowall 2.0 Ransomware, scarica un client Tor sulla macchina della vittima, che utilizza per connettersi al suo server di comando e controllo (c&c) e chiede un riscatto equivalente a 500$ in Bitcoin.

Proofpoint ha determinato che i siti web colpiti non erano infetti, ma piuttosto la rete pubblicitaria su cui questi siti si affidano per servire annunci dinamici. Questi annunci dinamici, a loro volta, servivano CryptoWall alle vittime. La rete pubblicitaria, tra cui OpenX, Rubicon Project e Yahoo Ad Exchange, che servivano inconsapevolmente questi annunci malevoli, sono state informate delle campagne di malvertising e, a partire da sabato, sono state adottate misure appropriate per fermare la campagna di malvertising su queste reti.