Anuncios maliciosos están sirviendo de código de explotación para infectar los routers, en lugar de los navegadores, con el fin de insertar anuncios en todos los sitios donde los usuarios están visitando.
Descubierto por los investigadores de seguridad de la firma de seguridad de Estados Unidos Proofpoint, esta campaña de publicidad maliciosa es alimentado por un nuevo exploit kit llamado DNSChanger EK.
La forma en que funciona toda esta operación por delincuentes que compran anuncios en sitios web legítimos. Los atacantes insertar código JavaScript malicioso en estos anuncios, utilizan una petición a un servidor WebRTC Mozilla STUN para determinar la dirección IP local del usuario.
Con base en esta dirección IP local, el código malicioso puede determinar si el usuario está en una red local gestionado por un pequeño router, y continuar el ataque. Si esta comprobación falla, los atacantes simplemente muestran un anuncio legítimo al azar y seguir adelante.
Para las víctimas de los ladrones considera valioso, la cadena de ataque continúa. Estos usuarios reciben un anuncio contaminada que les redirige a la página de inicio de DNSChanger EK, donde se inicia la explotación real.
El siguiente paso es que los atacantes para enviar un archivo de imagen al navegador del usuario, que contiene una clave AES (algoritmo de cifrado) embebido dentro de la foto usando la técnica de la esteganografía.
El anuncio malicioso utiliza esta clave para descifrar AES aún más el tráfico que recibe del DNSChanger explotar kit. Los ladrones cifran sus operaciones para evitar las miradas indiscretas de los investigadores de seguridad.
La campaña de publicidad maliciosa se dirige a 166 modelos de router
Después de que el usuario recibe su clave de cifrado, el kit exploit DNSChanger envía a cada víctima una lista de enrutador "huellas dactilares". Proofpoint investigadores dicen que han visto el paquete de exploits que sirve de router 166 huellas dactilares en el momento de la escritura.
El anuncio malicioso hace uso de estas huellas digitales para probar el tipo de enrutador está utilizando el usuario y, a continuación, informar al servidor del paquete de exploits.
El DNSChanger EK responde de vuelta con explotar paquetes que pueden tener sobre el router y cambiar su configuración de DNS con el fin de transmitir el tráfico a través de los servidores de los ladrones'.
El exploit contienen vulnerabilidades o lista de credenciales de administrador codificadas que pueden permitir a los delincuentes para controlar router local de la víctima.
Proofpoint dice que, en algunos casos, que los modelos de router permiten esto, los ladrones intentan abrir los puertos de administración del router para conexiones externas de tal modo que los atacantes pueden controlar directamente los routers. Los investigadores dicen que han visto los puertos de administración abierta atacantes durante 36 routers de la lista de 166 huellas dactilares del router.
Todo esto sucede en cuestión de segundos y fuera de la vista del usuario, a través de un iframe HTML escondido de ventana del navegador. Los atacantes utilizan los routers comprometidos para sustituir los anuncios en el tráfico normal del usuario
Una vez que el ataque ha logrado controlar el router, se puede utilizar para sustituir los anuncios legítimos con su propia, o añadir anuncios en sitios web que no cuentan con los anuncios.
Mientras que anteriores campañas de publicidad maliciosa por lo general dirigidos a los usuarios de Internet Explorer, esta campaña se centró en los usuarios de Chrome, tanto en el escritorio y los dispositivos móviles. LA sustitución e inserción de anuncios también se lleva a cabo en el tráfico a los dispositivos móviles, no sólo los escritorios.
Proofpoint dice que los ladrones han ido sustituyendo los anuncios proporcionados por las redes de publicidad como AdSupply, Outbrain, Popcash, Propellerads, y Taboola.
Aún no han logrado determinar una lista exacta de los modelos de router afectadas, pero algunas de las marcas dirigidas por los atacantes incluir Linksys, Netgear, D-Link, Comtrend, Pirelli, y Zyxel.
Se recomeinda la actualización de firmware del router
Debido a que el ataque se llevó a cabo a través del navegador del usuario, el uso de contraseñas de router o desactivación de la interfaz de administración no es suficiente.
Las únicas manera en que los usuarios pueden mantenerse a salvo es actualizar el firmware de su router para las versiones más recientes, que muy probablemente incluye la protección contra las vulnerabilidades utilizadas por el DNSChanger EK.
Esta campaña de publicidad maliciosa no tiene nada que ver con la explotación contra los routers Netgear que salieron a la luz durante el 10 y 11 de diciembre, o la campaña de publicidad maliciosa descubierto por ESET, que incrusta código malicioso dentro de los píxeles de anuncios.
