Los atacantes apuntan a los visitantes del sitio porno en el ataque "Malsmoke" de Zloader - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Los atacantes apuntan a los visitantes del sitio porno en el ataque «Malsmoke» de Zloader

Hola y mil gracias por leerme. Yo soy Eduardo Arroyo y en esta ocasión vamos a hablar sobre Los atacantes apuntan a los visitantes del sitio porno en el ataque «Malsmoke» de Zloader

Los atacantes se dirigen a los visitantes del sitio porno en el ataque «Malsmoke» de Zloader

Una actualización falsa de Java encontrada en varios sitios de pornografía en realidad descarga el conocido malware Zloader.

Los ciberdelincuentes están engañando a los visitantes adultos del sitio web, incluidos sitios como bravoporn[.]com y xhamster[.]com – en ataques de publicidad maliciosa que redirigen a las víctimas a sitios web maliciosos que distribuyen malware.

La campaña, que es parte de un esfuerzo de publicidad maliciosa más grande llamado «humo de mals», ha sido monitoreado a lo largo de 2020. Los esfuerzos más recientes, dicen los investigadores, indican un cambio en la estrategia de los atacantes, alejándose de empujar a las víctimas. a sitios que alojan actualizaciones falsas de Java.

La táctica anterior incluía a los adversarios redirigir a los visitantes del sitio a un sitio web que luego proporcionaría una cadena de distribución de kits de explotación (droppers, downloaders y malware). Sin embargo, a partir de mediados de octubre, los atacantes actualizaron sus kits de explotación con un giro. Los investigadores explican que se ha introducido una actualización falsa de Java, dijeron los investigadores. Cuando las víctimas hacen clic en esta «actualización», finalmente descargan Zloader, un malware bancario diseñado para robar credenciales y otra información privada de usuarios de instituciones financieras específicas.

«Aunque pensamos que el actor de la amenaza había permanecido en silencio, simplemente cambió de táctica para hacer crecer aún más sus operaciones», dijeron los investigadores de Malwarebytes. en un análisis del lunes. «En lugar de dirigir a una pequeña fracción de visitantes a sitios para adultos que aún ejecutaban Internet Explorer, ahora han extendido su alcance a todos los navegadores».

Cuando hace clic para reproducir un videoclip para adultos, aparece una nueva ventana del navegador con lo que parece un video granulado. En segundo plano, lo que está sucediendo es que después de que las víctimas hacen clic para reproducir videos para adultos, son redirigidas a varias páginas maliciosas, como landingmonster.[.]Online hasta que aterrizan en un sitio porno de «cebo» (pornguru[.]Online / B87F22462FDB2928564CED). La película se reproduce durante unos segundos, con audio, hasta que de repente un mensaje superpuesto informa a los usuarios que «no se encontró el complemento de Java 8.0».

Campaña de publicidad maliciosa. Crédito: Malwarebytes

Los investigadores dijeron que el archivo de la película es un clip MPEG-4 de 28 segundos que fue renderizado a propósito con una vista pixelada. Su objetivo es hacer que los usuarios crean que necesitan descargar una pieza de software que falta, aunque eso no ayudará de ninguna manera, dijeron.

«Los autores de amenazas pueden haber diseñado esta actualización de complemento falso en cualquier forma», dijeron los investigadores. “Sin embargo, la elección de Java es un poco extraña, considerando que normalmente no se asocia con la transmisión de video. Sin embargo, aquellos que hacen clic y descargan la llamada actualización pueden no ser conscientes de ello, y eso es realmente todo lo que importa «.

A partir de ahí, los atacantes desarrollaron su propia utilidad para descargar una carga útil remota. La falsa actualización de Java (llamada JavaPlug-in.msi) es un instalador de Microsoft firmado digitalmente, que contiene una serie de bibliotecas y ejecutables. Los investigadores dijeron que muchos de estos son legítimos.

Se instala un ejecutable (lic_service.exe), que luego carga HelperDll.dll. que es el módulo más importante responsable de la distribución de la carga útil final. Este módulo utiliza la biblioteca curl presente en el archivo MSI y luego descarga una carga útil cifrada (de moviehunters[.]sitio).

La carga útil final es Zloader, que se conecta a un nuevo proceso msiexec.exe para contactar con su servidor de comando y control (C2) mediante un algoritmo de generación de dominios (DGA). Después de identificar un dominio que responde, el malware comienza a descargar módulos adicionales

La campaña malsmoke, revelada por primera vez por los investigadores en septiembre, lleva el nombre de Smoke Loader, la carga útil más utilizada a través del kit de exploits Fallout. Los investigadores observaron inicialmente la campaña utilizando kits de explotación; A finales de agosto, por ejemplo, se observó una campaña de kits de explotación de Fallout que distribuía Raccoon Stealer en sitios para adultos de alto tráfico. Poco después de que los investigadores informaran sobre el ataque a la red publicitaria, el mismo actor de amenazas regresó nuevamente usando el kit de explotación RIG.

«Si bien vemos una serie de cadenas de publicidad maliciosa, la mayoría de ellas provienen de tráfico de baja calidad y redes publicitarias turbias», dijeron los investigadores. “Malsmoke se basa en portales para adultos de alto tráfico, con la esperanza de producir el máximo número de infecciones. Por ejemplo, malsmoke apareció en xhamster[.]com, un sitio con 974 millones de visitas mensuales, activo y desactivado desde hace meses ”.

Si bien los atacantes han cambiado de táctica para usar actualizaciones falsas de Java en lugar de kits de explotación, los investigadores dicen que continúan abusando de los portales para adultos de alto tráfico y pueden estar vinculados a la red publicitaria Traffic Stars. Los investigadores advierten que esta campaña continuará con tácticas nuevas y en evolución.

«En ausencia de vulnerabilidades y exploits de software de alto valor, la ingeniería social es una excelente opción, ya que es asequible y confiable», dijeron los investigadores. «En lo que respecta a las amenazas web, esos patrones están destinados a durar en el futuro previsible».

.

Deberías compartir en tu Facebook para que tus amigos lo vean

??? ? ? ???

Comparte