Servidor de publicidad pirateado impulsa SEON Ransomware

ransomware

El servidor de anuncios para un sitio de conversión de video muy popular fue hackeado para mostrar publicidad maliciosa que carga el kit de exploits GreenFlash Sundown

Este kit de explotación luego dejaría caer el SEON Ransomware, el troyano de robo de información de Pony y los mineros en una computadora vulnerable.

La mayoría de los sitios web que utilizan publicidad se asociarán con una red publicitaria que maneja la publicación de anuncios. Sin embargo, algunos editores utilizarán su propio servidor de anuncios y lo usarán para mostrar anuncios en su sitio.

En un nuevo informe, Malwarebytes explica que se sabe que los actores de amenazas detrás del kit de explotación GreenFlash Sundown comprometen el servidor de anuncios de un editor para que muestre publicidad maliciosa a los visitantes.

"Los actores de la amenaza detrás de esto tienen un modus operandi único que consiste en comprometer los servidores de anuncios que están a cargo de los propietarios de sitios web", declaró el investigador de Malwarebytes Jérôme Segura en una publicación de blog . "En esencia, son capaces de envenenar los anuncios publicados por el editor afectado a través de este tipo único de publicidad maliciosa".

Después de revisar las capturas de tráfico, Malwarebytes dijo que pudieron rastrear una campaña de publicidad maliciosa a un sitio popular de conversión de video llamado onlinevideoconverter [.] Com. Según Similarweb, este sitio tiene más de 200 millones de visitantes por mes y es el 159º sitio más grande del mundo.

Cuando los visitantes llegaban al sitio para convertir sus videos, el servidor de anuncios cargaba el kit de explotación. Esto fue hecho por el servidor de anuncios ofreciendo un archivo GIF falso que contenía JavaScript que redirigiría al usuario a la puerta del kit de explotación.

Desde el tráfico de red capturado por Segura, puede ver cómo funcionó el ataque de publicidad maliciosa a continuación. Un usuario visitaría el sitio, el servidor de anuncios entregaría el GIF falso, que luego cargaría el código de una serie de sitios que finalmente cargaron el kit de explotación.

El kit intentará explotar un exploit de Flash y, si tiene éxito, ejecutará un comando de PowerShell.

Este comando verificará si la computadora es una máquina virtual y, de no ser así, instale SEON Ransomware

Además de instalar SEON Ransomware, el kit de explotación también instalará un minero y el troyano de robo de información Pony.

Explotación de kits comúnmente utilizados para instalar ransomware

Si bien las instalaciones de ransomware parecían estar disminuyendo a principios de año, con el reciente éxito y los pagos de rescate de $ 500,000 de las ciudades , el ransomware está regresando.

Un método de distribución que se usa comúnmente para distribuir ransomware son los kits de explotación.

Solo este mes, hemos visto tres familias de ransomware diferentes distribuidas utilizando este tipo de ataque. Esto incluye el incidente discutido en este artículo, así como la variante de ransomwar Buran y Sodinokibi que RIG distribuye.

Como los kits de explotación utilizan vulnerabilidades en su sistema operativo y el software instalado, es imperativo que se asegure de instalar todas las actualizaciones de Windows y que los programas como Flash, Java y lectores de PDF se actualicen a la última versión.

Fecha actualización el 2021-06-28. Fecha publicación el 2019-06-28. Categoría: ransomware Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil