Yahoo, visitantes do AOL impactados por Malware em Anúncios, Ransomware em Ação

Malvertising impacta visitantes do Yahoo e AOL, espalha Ransomware via kit de exploração FlashPack

Vários sites de alto tráfego, incluindo Yahoo, AOL, Match.com e The Atlantic, foram encontrados servindo anúncios maliciosos para seus visitantes. O Malware em ação “CryptoWall 2.0 ransomware” impactou os visitantes que executavam uma versão vulnerável/sem correção do Adobe Flash player.

Pesquisadores da proofpoint, que relataram a campanha de malvertising, disseram que o malware não precisava nem de um clique para ser instalado, ele se instalava automaticamente usando uma vulnerabilidade em versões mais antigas do Flash Players.

Sem precisar clicar em nada, os visitantes dos sites impactados podem ser infectados furtivamente com o ransomware CryptoWall 2.0. Usando o Adobe Flash, os malvertisements silenciosamente “puxam” explorações maliciosas do FlashPack Exploit Kit. As explorações atacam uma vulnerabilidade no navegador dos usuários finais e instalam o CryptoWall 2.0 nos computadores dos usuários finais. A proofpoint disse em um post no blog.

Uma vez que o malware infecta o computador da vítima, ele criptografa o disco rígido da vítima e pede um resgate a ser entregue pela internet em troca da descriptografia dos arquivos da vítima para seu estado original.

Mais de 3 milhões de visitantes por dia foram potencialmente expostos a esta campanha de malvertising, que gerou um estimado de US$25.000 por dia para os atacantes.

Lista de domínios que foram afetados junto com suas classificações globais no Alexa, conforme dado no blog da proofpoint.

Yahoo! Finance, Fantasy e Sports (yahoo.com, Global 4, US 4),
AOL (realestate.aol.com, US 37, Global 119),
The Atlantic (theatlantic.com, US 386, Global 1,206),
9GAG (9gag.com, US 528, Global 201,),
match.com (US 203, Global 631),
The Sydney Morning Herald (www.smh.com.au, Australia 13, Global 780),
realestate.com.au (Australia 17, Global 1,656),
The Age (theage.com.au, Australia 34),
stuff.co.nz (Nova Zelândia 9),
societe.com (França 54, Global 1,649),
Dumpert (dumpert.nl, Países Baixos 24),
Flirchi (flirchi.com, Índia 106, Global 1,129),
Weatherzone Australia (weatherzone.com.au, Austrália 111),
Brisbane Times (brisbanebrisbanetimes.com.au, Austrália 183),
RSVP (rsvp.com.au, Austrália 351),
The Canberra Times (canberratimes.com.au, Austrália 403),
Time Out (US 1,145, Global 1,816),
The Beacon-News (beaconnews.suntimes.com, US 1,178),
Merca2.0 (merca20.com, México 229),
clicccar.com (Japão 1,124),
iPhone para Hong Kong (iphone4hongkong.com, HK 112),
Noticias Argentinas (noticiasargentinas.com, Argentina 784)

O malware neste caso, Cryptowall 2.0 Ransomware, baixa um cliente Tor na máquina da vítima, que usa para se conectar ao seu servidor de Comando e Controle (c&c) e pede um equivalente a 500$ em Bitcoin como resgate.

Proofpoint determinou que os sites impactados em si não estavam infectados, mas sim a rede de publicidade na qual esses sites dependem para servir anúncios dinâmicos. Esses anúncios dinâmicos, por sua vez, estavam servindo o CryptoWall para as vítimas. A rede de anúncios, incluindo OpenX, Rubicon Project e Yahoo Ad Exchange, que estavam servindo esses anúncios maliciosos sem saber, foram informadas sobre as campanhas de malvertising e, a partir de sábado, ações adequadas foram tomadas para conter a campanha de malvertising nessas redes.