Malvertising se aprovecha de usuarios

Malvertising se aprovecha de usuarios

Campaña de malvertising está aprovechando el COVID-19 para atacar a los usuarios de Internet Explorer y robar su información.

Los ciberdelincuentes están aprovechándose de la crisis del COVID-19. Recientemente, Avast descubrió a ciberdelincuentes modificando sus campañas de malvertising para adaptar sus campañas publicitarias maliciosas, convirtiéndolas en relevantes para la crisis de COVID-19.

Aquellos que están detrás de esta operación compran espacio publicitario en una red de publicidad para mostrar anuncios malignos en sitios web. Ahora utilizan nombres de sitios web que parecen albergar información relacionada con el coronavirus y, por lo tanto, hacen creer a los operadores de redes publicitarias que no son maliciosos.

Esta campaña de malvertising en particular hospeda un kit de explotación llamado Fallout, que intenta explotar las vulnerabilidades de versiones anteriores de Internet Explorer, haciéndolo sin que el usuario intervenga o sea consciente de que algo está sucediendo, a fin de instalar Kpot v2.0, un programa de robo de información/contraseñas.

El kit de explotación de Fallout existe desde 2018 y, en su mayor parte, se ha dirigido a usuarios japoneses y surcoreanos.

El 26 de marzo de 2020, quienes ejecutan la campaña registraron el dominio covid19onlineinfo[.]com y desde entonces han rotado los dominios en los que está alojado el kit de explotación, registrando unos seis dominios al día en un intento de eludir las búsquedas del antivirus.

El malvertising suele estar alojado en sitios de streaming y suele abrirse automáticamente en una nueva pestaña cuando el usuario hace clic en el botón de reproducción para ver un vídeo.

Cuando un usuario con el kit de explotación de Fallout visita un sitio que alberga el malvertising y utiliza una versión anticuada de Internet Explorer, el kit de explotación intenta acceder a la computadora del usuario.

Intenta explotar una vulnerabilidad en Adobe Flash Player (CVE-2018-15982, ajuste publicado en enero de 2019), que puede conducir a la ejecución arbitraria de código, y una vulnerabilidad de ejecución remota en el motor VBScript que afecta a varias versiones de Windows (CVE-2018-8174, ajuste publicado en mayo de 2018). Esto puede causar que Internet Explorer se bloquee; esta es la única bandera roja que el usuario puede advertir.

El kit de explotación ya infectó ordenadores valiéndose de varios ladrones de contraseñas e información y troyanos bancarios. Actualmente, el ladrón de contraseñas e información Kpot v2.0 está siendo distribuido.

Intenta robar información básica, como el nombre del ordenador, el nombre de usuario de Windows, la dirección IP, el software instalado en el dispositivo, el GUID de la máquina y más, enviando esta información a un servidor de comando y control.

Te puede interesar  Máximo histórico de vulnerabilidades durante 2017

Luego el malware roba contraseñas y otros archivos. De acuerdo con el equipo de investigación de Proofpoint que analizó el malware de Kpot, los siguientes comandos pueden ser enviados por el servidor de comando y control al malware:

  • Robar cookies, contraseñas y datos de autocompletado de Chrome
  • Robar cookies, contraseñas y datos de autocompletado de Firefox
  • Robar cookies de Internet Explorer
  • Robar varios archivos de criptomonedas
  • Robar cuentas de Skype
  • Robar cuentas de telegramas
  • Robar cuentas de Discordia
  • Robar cuentas de Battle.net
  • Robar las contraseñas de Internet Explorer
  • Robar cuentas de Steam
  • Hacer una captura de pantalla
  • Robar varias cuentas de clientes FTP
  • Robar varias credenciales de Windows
  • Robar varias cuentas de clientes de Jabber
  • Eliminarse

Hasta el 14 de abril de 2020, Avast frustró 178.814 intentos de ataque dirigidos a 96.278 usuarios en todo el mundo. A continuación presentamos un cuadro con los principales países que han sido objeto de estos ataques.

País

Intentos de ataque bloqueados

Número de usuarios en la mira

Canadá

37.342

12.496

Estados Unidos

30.001

13.930

Japón

17.306

8.438

España

15.484

9.609

Italia

10.494

6.648

Australia

6.222

2.780

Brasil

5.833

4.051

Francia

5.813

4.183

Turquía

3.900

2.568

Alemania

3.331

2.452

Cómo protegerse

Jan Vojtěšek, analista de malware de Avast, creó un conjunto recomendaciones para mantenerse a salvo de estas amenazas digitales:

  • Los usuarios deben tener instalado un software antivirus, que actuará como una red de seguridad, detectando y previniendo ataques maliciosos como éste.
  • Siempre mantenga el software, los navegadores y los sistemas operativos actualizados. Las actualizaciones son importantes ya que no solo ofrecen nuevas características, sino que pueden incluir parches de seguridad para corregir las vulnerabilidades que podrían ser una puerta de entrada para intrusiones. 
  • Deshabilite Flash, a menos que sepa que lo necesita. Flash ya no es tan usado en muchos sitios web, pero los ciberdelincuentes siguen abusando de sus vulnerabilidades
  • Habilitar la nueva función de Protección de Contraseña, que se encuentra en la sección de privacidad de Avast Premium. Esta función alerta si un programa intenta acceder a las contraseñas guardadas en Chrome o en Firefox.  
Print Friendly, PDF & Email

Ultimas Noticias

Deje su comentario

Su dirección de correo no será publicada. Los campos obligatorios están marcados con *

Cancelar respuesta

+ Leídas

+ Comentadas


Videos Destacados

Tipo de error: "Forbidden". Mensaje de error: "The request cannot be completed because you have exceeded your quota." Dominio: "youtube.quota". Razón: "quotaExceeded".

Did you added your own Google API key? Look at the help.

Comprueba en YouTube si el id UC8nOuNcjMh0JO1VR8vMCO4A corresponde a un channelid. Revise el FAQ del plugin or envíe los mensajes de error a support.


La era de la nube múltiple híbrida

En un momento en que se entregan nuevos proyectos a los departamentos de TI en solo unas pocas horas, es...

Cerrar