FireEye descubrió una campaña de publicidad maliciosa muy bien elaborada que usaba el anuncio de una API de uno de los más grandes motores de búsqueda: Baidu, con base en China. Para el efecto, los atacantes emplearon un simple rediccionador en HTML, en lugar de un más usual código Shell o un exploit, en una página web con aspecto aparentemente benigno.

De esta forma se activaba un bucle de redireccionamiento que buscaba el contenido malicioso en espacios publicitarios comprometidos con lo que empezaba a introducir malwares en cadena dentro de una computadora. Esta campaña de publicidad maliciosa que involucra a la API de Baidu fue diseñada de forma que su fuente de origen resultaba difícil rastrear.

De acuerdo con Safwan Khan, Senior Malware Researcher de FireEye, la campaña fue detectada por primera vez a mediados de octubre del 2015, y haycasos de amenaza que estaban activos desde febrero de este año. Baidu tomó varias medidas para abordar la cuestión, como fue una revelación responsable a FireEye, al mismo tiempo que los internautas que navegaban a una página infectada por la campaña, como hxxp://www.duds[.]win eran dirigidos al URL: hxxp://www. ymnemh[.] info/index. htm

A partir del reconocimiento de ese ataque, FireEye contribuyó al diseño de estrategias de defensa en donde primero se identificaba el código maligno y a partir de ahí se crearon sistemas de protección que contribuyeron a proteger a la empresa y a sus usuarios.

Por ejemplo, en los sistemas que corren Windows, la última versión de Internet Explorer (IE) alertará sobre este tipo de malvertisement desde la versión 11 de su navegador, aunque Microsoft dejó de apoyar la ejecución deVBScript en el lado del cliente.

Los usuarios que actualmente están usando la versión de IE anterior a la 11.0 pueden permanecer seguros de este tipo de ataques simplemente actualizando sus navegadores a la versión 11 o posterior.

De acuerdo con Khan, los representantes de FireEye contactaron a los directivos de Baidu para abordar el problema en forma responsable. Baidu contribuyó totalmente y actuó contra el agente invasor removiendo todos loscontenidos malignos.

También hicieron cambios inmediatos a las regulaciones de su plataforma de anuncios de manera que ciertos comportamientos dinámicos relacionados con la carga o descarga de archivos ejecutables de dominios sospechosos dejaron de permitirse.

Un cambio en el respaldo de los espacios publicitarios:

Aunque se suspendió el ataque de la campaña maliciosa debido a que los principales espacios publicitarios se retiraron, la campaña se cambió a lascopias de seguridad de los espacios publicitarios. FireEye detectó ese cambio y avisó a Baidú, que tomó cartas en el asunto, y a partir de entonces la campaña ya no está activa, ya que a partir de entonces Baidu llevó a cabo una operación masiva de investigación y limpieza en sus espacios y plataformas de publicidad.

Entre otras acciones que se tomaron, destacan las siguientes:

1. Del 14 al 18 de marzo, se llevó a cabo la recopilación de pruebas de la cuenta del atacante y todo su contenido malicioso se limpió.
2. Actualmente ya es obligatorio tanto para las cuentas de usuarios anteriores como las actualesregistrar un dominio y teléfono celular real y comprobable para que se puedan verificar, Las identificaciones relacionadas con contenido malicioso pueden ser pueden ser proporcionadas a las autoridades
3. Baidu ha mejorado su mecanismo de detección para detectar contenido malicioso alojado en su plataforma de anuncios. Todo el contenido cargado también es totalmente explorado.
4. Del 21 al 31 de marzo, Baidu cerró el canal de carga y descarga de los scripts definidos por el usuario y de los archivos Flash para su plataforma de publicidad. Esto significa que en el futuro no se podrá alojar otra campaña en los espacios publicitarios de los servidores de la empresa.

Noticias Relacionadas

Internet de las cosas representa mayores riesgos para los conductores5 min read Las estrategias de grupo hacker patrocinado por el gobierno ruso4 min read 6 debilidades en sistemas industriales2 min read FireEye detecta acciones de ciberespionaje alineadas con intereses vietnamitas2 min read