2019 ha sido un año muy ocupado para los kits de explotación, a pesar de que no se han considerado un potente vector de amenaza durante años, especialmente en el lado del consumidor. Esta vez, descubrimos el kit de exploits Spelevo con sus pantalones virtuales bajos, intentando capitalizar la popularidad de los sitios web para adultos para comprometer más dispositivos.

La actual cuota de mercado del navegador dominado por Chromium favorece los ataques de ingeniería social y otras amenazas que no requieren el uso de exploits para infectar a los usuarios. Sin embargo, seguimos viendo campañas de publicidad maliciosa que impulsan las descargas automáticas en nuestra telemetría. Los anuncios maliciosos se colocan en sitios web para adultos de nivel 2 que aún generan mucho tráfico.

Recientemente, capturamos un cambio inusual con el kit de exploits Spelevo donde, después de un intento de activar vulnerabilidades en Internet Explorer y Flash Player, los usuarios fueron redirigidos de inmediato a un sitio para adultos señuelo.

Figura 1: Kit de exploit usado en conjunto con la ingeniería social

Spelevo EK le indica al navegador que cargue este sitio, que las víctimas de los ingenieros sociales instalan un códec de video para reproducir una película. Esto parece ser un esfuerzo del operador de Spelevo EK para duplicar sus posibilidades de comprometer nuevas máquinas.

Spelevo EK cambia su URL de redireccionamiento

Según nuestra telemetría, hay algunas campañas ejecutadas por actores de amenazas que convierten el tráfico a sitios para adultos en cargas de malware. En una campaña, vimos un ataque de publicidad maliciosa en un sitio que atrae a cerca de 50 millones de visitantes al mes.

Figura 2: Vista de tráfico de EK a soc. sitio de ingeniería

Recolectamos dos cargas útiles principales que provienen directamente de Spelevo EK:

  • Ursnif / Gozi
  • Qbot / Qakbot

Una cosa que hizo Spelevo EK que era un poco diferente de otros kits de exploit es redirigir a las víctimas a la explotación de publicaciones de google.com, generalmente después de un retraso de 10 segundos:

Figura 3: redirección de Google con 10 segundos de retraso

Sin embargo, en esta última captura, notamos que el guión había sido editado y que el tiempo se incrementó a 60 segundos:

Figura 4: redirección de Google con 60 segundos de retraso

Este cambio es importante porque permite suficiente tiempo para que el exploit kit se ejecute por completo y llame a la última parte de URL del marco EK. Aquí, notamos algo nuevo también.

Anteriormente, la URL que seguía inmediatamente la carga útil tenía el siguiente patrón final: & 00000111 & 11 . Ahora, el nuevo patrón tiene 32 caracteres seguidos de la letra ‘n’.

Figura 5: Redirección de EK al sitio de señuelo para adultos

Antes de que la etiqueta de actualización entre en vigencia, el navegador se redirige a una nueva ubicación, que resulta ser un sitio para adultos señuelo.

Ingeniería social como respaldo

Este sitio falso para adultos no tiene nada de especial, pero funciona muy bien en el contexto de la cadena de publicidad maliciosa. Las víctimas ya estaban involucradas con el contenido y es posible que ni siquiera se den cuenta de que acaba de ocurrir un intento de explotación.

Figura 6: sitio falso para adultos que engaña a los usuarios con códec de video falso

Esta vez, el sitio insta a los usuarios a descargar un archivo llamado lookatmyplayer_codec.exe . La descarga de códecs de video para ver medios solía ser bastante común en el pasado, pero ya no es el caso. Sin embargo, este tipo de truco todavía funciona bastante bien y es un método alternativo para comprometer a los usuarios.

El códec falso resulta ser Qbot / Qakbot, que también es una de las cargas distribuidas por Spelevo EK. En otras palabras, el actor de la amenaza tiene dos posibilidades de infectar a las víctimas: ya sea a través del kit de exploits o el códec falso.

Esta no es la primera vez que los operadores de kits de exploits han incluido esquemas de ingeniería social. En 2017, se vio a Magnitude EK presionando una notificación falsa de Windows Defender , mientras que Disdain EK estaba engañando a los usuarios con una actualización falsa de Flash Player .

Los usuarios de Malwarebytes están protegidos contra el kit de explotación y las cargas útiles.

Indicadores de compromiso (COI)

Ursnif / Gozi

7212b70a0cdb4607f577e627211052e37ef01036e9231d9e286fc5e40974fd42

Qbot / Qakbot

1814deb94c42647f946b271fe9fc2baa6adae71df2b84f4854d36eda69979f93
1bbde8cee82550d4d57e4d6ee8faa9cbcbc6bdabf5873e494c47a1eb671fb7b5

Sitio de señuelo para adultos

lookatmyvideo [.] com
185.251.38 [.] 70