HDD Plus propagado mediante drive-by download y anuncios de Google y Microsoft

En los últimos meses he publicado muchas notas sobre falsos antivirus intentando destacar las diferentes técnicas de ataque que utilizan los ciberdelincuentes.

Hoy me he encontrado con una de las más ingeniosas y peligrosas, ataques drive-by para propagar el rogue HDD Plus y otros malwares:

hdd-plus-drive-by
Lo alarmante es que el malware se propagaba por medio de anuncios mostrados por las redes publicitarias de Google y Microsoft, las más utilizadas del mundo, es decir que los usuarios se infectaban sin saberlo por visitar páginas legítimas que desplegaban los anuncios maliciosos.

El ataque ya fue bloqueado, pero pasaron varios días hasta que comprendieron qué era lo que estaba sucediendo. En el blog de Armorize están publicados todos los detalles del caso.

A grandes rasgos, los atacantes lograron mostrar anuncios maliciosos que incluían exploits para aprovechar vulnerabilidades conocidas de Internet Explorer, Adobe, Java y controles ActiveX… de esta forma, por ejemplo, cuando el anuncio se cargaba en una versión desactualizada de Internet Explorer, el equipo se infectaba sin la interacción del usuario.

Lo interesante es cómo lograron pasar los filtros de Google y Microsoft para mostrar los anuncios en algunas de las páginas más visitadas del mundo. En la siguiente imagen publicada por Armorize se puede ver un esquema del ataque:

ataque-drive-by-hddplus
Los anuncios maliciosos eran servidos desde ADShufffle . com que simulaba ser el proveedor de publicidad certificado AdShuffle, notar que el sitio falso incluye tres efes (fff).

Al parecer a la hora de dar el visto bueno a los anuncios pasaron por alto ese pequeño detalle…

El caso sirve para recordar la importancia de mantener el sistema operativo y todos los programas actualizados, incluyendo el navegador y sus complementos. El falso programa propagado, HDD Plus, es una variante de UltraDefragger y otros similares que simulan detectar errores en el sistema para que las víctimas compren una licencia.

Si se instaló en tu equipo y no lo puedes eliminar, en el foro puedes pedir ayuda.

Ver también:
La página del NY Times mostró pop-ups maliciosos durante algunas horas.

6 comentarios en «HDD Plus propagado mediante drive-by download y anuncios de Google y Microsoft»

  1. Es un falso positivo, lo que sucede es que el filtro lee los códigos que publicaron en el post y salta la alerta, igualmente les dejé un comentario para ver qué dicen :)

    Responder
  2. @fossie, no conozco cómo filtran los anuncios, pero de alguna forma se les pasó y los engañaron :D

    @3, el blog es el de una empresa de seguridad.

    Es un falso positivo de AVG, en Google se puede ver que a muchas personas le ha pasado con páginas que no son peligrosas:

    http://www.google.com.uy/search?sourceid=chrome&ie=UTF-8&q=la+pagina+que+intenta+ver+se+ha+indentificado+como+una+vulnerabilidad+conocida,+phishing+o+witio+web+de+infenieria+social

    Estoy bajando el programa para probar.

    Responder
  3. Por cierto, ¿es que los anuncios los revisa una persona manualmente antes de ser insertados? Pues al tio/a que se le pasó ese detalle se lo deben estar comiendo en la empresa. Va a pillar una depre…

    Responder
  4. Yo es que paso de pulsar en los enlaces de publicidad sean de lo que sean. Aunque sean de Google o de Microsoft. Si me interesa algún producto de los que veo entro directamente en su web sin hacer click en ningún sitio. Así pienso que se evitan algunos problemas (aunque no todos claro)

    Responder

Deja un comentario