Trustwave descubre serio incidente de malvertising

trustwave-lancenet-itusersTrustwave reporta ataque malicioso a popular sitio deportivo brasileño en los albores de la Copa Mundial de la FIFA

Chicago, 07 de junio del 2014.— Investigadores de Trustwave descubrieron un incidente de malvertising (anuncio malicioso) en un popular sitio web brasileño, que puede llevar a una gran cantidad de ciberataques contra los fanáticos del fútbol, especialmente en los albores de la próxima Copa Mundial de la FIFA (que comienza el 12 de junio). En el sitio web, lancenet.com.br, un sitio web para los aficionados al fútbol de todo el mundo, los investigadores descubrieron un anuncio malicioso que, para las personas que usan una versión vulnerable de Adobe Flash, las hace susceptibles a un ataque.

Cuando los usuarios simplemente visitan el sitio, el anuncio permite al malware infectar sus computadoras y, por lo tanto, abrir la puerta a los hackers para tener acceso y robar su información valiosa. Lancenet.com.br es el 98avo sitio web más popular en Brasil y ocupa el puesto global 3607 en cuanto a popularidad, el cual es un ranking alto dentro de los sitios web.

De cara a la próxima Copa Mundial de la FIFA, una gran cantidad de usuarios podrían estar visitando este sitio, por lo tanto, pueden ser víctimas de un ataque. Por favor, consulte el post en el blog de Trustwave que se incluye abajo.Esto viene a demostrar que no toda la actividad maliciosa proviene de sitios web «de aspecto sospechoso«; los atacantes son sofisticados y atacan también desde sitios web legítimos.

CVE- 2014-0515 va a Brasil para la Copa del Mundo 2014

El campeonato de la Copa del Mundo 2014 ha comenzado antes de que los partidos oficiales siquiera hayan comenzado, ya que muchos sitios web ofrecen información variada sobre los equipos internacionales, los partidos, el calendario, etc. El reciente aumento de interés es seguido por un enorme tráfico a diferentes sitios web centrados en deportes. En el vertiginoso ambiente de negocios de hoy, el tráfico se traduce en dinero, y todo lo que uno tiene que hacer es colocar el banner de una campaña de publicidad y contar los dólares que corren por acceder a él.

Desconocido para la mayoría de los aficionados al deporte, un nuevo equipo está compitiendo en la Copa del Mundo de este año y este equipo ¡ya está ganando! Investigadores de Trustwave han descubierto que una campaña de publicidad maliciosa (malvertising), está conspirando alrededor de los sitios deportivos de tráfico pesado que sirven para explotar e infectar tantas máquinas como sea posible.

Apenas un mes atrás, Kaspersky reportó [http://www.securelist.com/en/blog/8212/New_Flash_Player_0_day_CVE_2014_0515_used_in_watering_hole_attacks] una vulnerabilidad que estaba abusando de un día-cero (zero-day) en Adobe Flash Player (CVE-2014 – 0515). Al analizar el incidente, los investigadores de Trustwave percibieron que un sitio web de deportes brasileño muy popular, fue afectado por este malvertising.

¿Qué tan popular es lancenet.com.br?

El proveedor de anuncios de este sitio está redirigiendo a los usuarios hacia el dominio «ib.adnxs.com«, el cual es conocido por participar previamente en otras campañas de publicidad maliciosa. Las muestras que observaron los investigadores fueron colocadas en un servicio público para el hospedaje SWF (www.swfcabin.com). Uno puede decir fácilmente que esto es un trabajo en progreso, ya que las muestras más recientes están protegidas contra la descompilación del código ActionScript por «SWF Defender» (un ofuscador comercial para archivos SWF) (tipo de detección genérica de estar infectados). La primera muestra que se observó fue subida el 14 de mayo, y la última el 22 de mayo.

También especialistas de Trustwave observaron que los atacantes no sólo tienen que copiar y pegar el código original. Los atacantes detrás de esta campaña emplean la técnica ya conocida y ampliamente utilizada de corromper el valor de tamaño del vector AS para poder leer el espacio de direcciones completo; sin embargo, a diferencia de la muestra original de CVE-2014-0515, donde los atacantes corromper el objeto de sonido vftable, en este caso elijen el objeto FileReference.  

Acerca Trustwave

Trustwave ayuda a los negocios a luchar contra el cibercrimen, proteger datos y reducir riesgos de seguridad. Con la administración de servicios de seguridad y en la nube, tecnologías integradas y un equipo de expertos de seguridad, hackers éticos e investigadores, Trustwave permite a los negocios transformar la manera en la que ellos administrar suinformación de seguridad y programas de quejas mientras se alinean a las prioridades de negocio en forma segura incluyendo big data, BYOD y social media.

Más de dos millones de negocios están confiando en la plataforma basada en la nube Trustwave TristKeeper a través de la cual Trustwave entrega protección de datos de costo efectivo, eficiente y automatizado, administración de riesgos e inteligencia contra robos. Trustwave es una compañía privada con oficinas centrales en Chicago con clientes en 96 países. Para más información de Trustwave visite www.trustwave.com

Puedes seguir a Trustwave en Twitter:  www.twitter.com/Trustwave, Facebook:  www.facebook.com/Trustwave y LinkedIn: www.linkedin.com/companies/Trustwave.Todas las marcas utilizadas en este documento son propiedad de sus respectivos dueños. Su uso no indica ni implica una relación entre Trustwave y los dueños de dichas marcas comerciales.