En los últimos meses he publicado muchas notas sobre falsos antivirus intentando destacar las diferentes técnicas de ataque que utilizan los ciberdelincuentes.
Hoy me he encontrado con una de las más ingeniosas y peligrosas, ataques drive-by para propagar el rogue HDD Plus y otros malwares:
Lo alarmante es que el malware se propagaba por medio de anuncios mostrados por las redes publicitarias de Google y Microsoft, las más utilizadas del mundo, es decir que los usuarios se infectaban sin saberlo por visitar páginas legítimas que desplegaban los anuncios maliciosos.
El ataque ya fue bloqueado, pero pasaron varios días hasta que comprendieron qué era lo que estaba sucediendo. En el blog de Armorize están publicados todos los detalles del caso.
A grandes rasgos, los atacantes lograron mostrar anuncios maliciosos que incluían exploits para aprovechar vulnerabilidades conocidas de Internet Explorer, Adobe, Java y controles ActiveX… de esta forma, por ejemplo, cuando el anuncio se cargaba en una versión desactualizada de Internet Explorer, el equipo se infectaba sin la interacción del usuario.
Lo interesante es cómo lograron pasar los filtros de Google y Microsoft para mostrar los anuncios en algunas de las páginas más visitadas del mundo. En la siguiente imagen publicada por Armorize se puede ver un esquema del ataque:
Los anuncios maliciosos eran servidos desde ADShufffle . com que simulaba ser el proveedor de publicidad certificado AdShuffle, notar que el sitio falso incluye tres efes (fff).
Al parecer a la hora de dar el visto bueno a los anuncios pasaron por alto ese pequeño detalle…
El caso sirve para recordar la importancia de mantener el sistema operativo y todos los programas actualizados, incluyendo el navegador y sus complementos. El falso programa propagado, HDD Plus, es una variante de UltraDefragger y otros similares que simulan detectar errores en el sistema para que las víctimas compren una licencia.
Si se instaló en tu equipo y no lo puedes eliminar, en el foro puedes pedir ayuda.
Ver también:
La página del NY Times mostró pop-ups maliciosos durante algunas horas.