Las campañas de publicidad maliciosa que conducen a kits de explotación no son tan comunes en estos días. De hecho, varios actores de amenazas han pasado a otros métodos de entrega en lugar de depender de descargas no autorizadas.

Sin embargo, ocasionalmente vemos picos en la actividad que son lo suficientemente notables como para resaltar una carrera exitosa. A finales de agosto, comenzamos a ver una campaña de kit de exploits de Fallout que distribuía Raccoon Stealer a través de sitios para adultos de alto tráfico. Poco después de que lo informamos a la red publicitaria, el mismo actor de amenazas regresó nuevamente usando el kit de explotación RIG.

Luego vimos posiblemente la campaña más grande hasta la fecha en el sitio principal xhamster [.] Com de un malvertiser que hemos rastreado durante más de un año. Este actor de amenazas ha logrado abusar de prácticamente todas las redes publicitarias para adultos, pero esta puede ser la primera vez que golpea a un editor importante.

Publicidad maliciosa en una red publicitaria popular

El primer anunciante malintencionado que observamos fue capaz de pujar por anuncios en varios sitios para adultos dirigiéndose a usuarios que ejecutan Internet Explorer sin ninguna restricción de geolocalización en particular, aunque la mayoría de las víctimas estaban en los EE. UU.

Figura 1: Víctimas por país a la izquierda, tráfico de sitios para adultos a la derecha

En esta campaña, los delincuentes abusaron de la popular red publicitaria ExoClick utilizando diferentes páginas de redireccionamiento. Sin embargo, cada vez pudimos notificar a la red publicitaria y hacer que se apagaran rápidamente.

El primer dominio que utilizaron fue inteca-deco [.] Com, que estaba configurado como una agencia de diseño web, pero visiblemente una página de señuelo para el ojo entrenado.

Figura 2: Página de señuelo utilizada como puerta al kit de explotación

El encubrimiento simple del lado del servidor realiza la redirección a una página de inicio del kit de explotación de Fallout que intenta explotar CVE-2019-0752 (Internet Explorer) y CVE-2018-15982 (Flash Player) antes de eliminar el Raccoon Stealer.

Figura 3: Kit de explotación de Traffic for Fallout

Aproximadamente 10 días después, otro dominio, websolvent [.] Me, se activó pero utilizó una técnica de redirección diferente, una redirección 302, también conocida como amortiguación 302. Esta vez vemos el kit de explotación RIG que también ofrece Raccoon Stealer.

Figura 4: Kit de explotación de tráfico para RIG

Más allá de una carga útil común, esos dos dominios también están relacionados. Un rastreo de RiskIQ confirma una relación entre estos 2 dominios donde el host principal fue sorprendido haciendo un redireccionamiento de meta actualización al secundario:

Figura 5: Pares de hosts de Passive Total

La publicidad maliciosa en los mejores sitios para adultos obtiene el máximo alcance

El segundo malvertiser (‘malsmoke’) es uno que hemos rastreado diligentemente durante los últimos meses y cuya carga útil final es a menudo el malware Smoke Loader. Es, con mucho, el más atrevido y exitoso, ya que persigue a grandes editoriales y una variedad de redes publicitarias. Sin embargo, hasta ahora solo los habíamos visto en editoriales de la industria para adultos que todavía son relativamente pequeñas.

En este caso, el actor de amenazas pudo abusar de la red publicitaria de Traffic Stars y colocar su anuncio malicioso en xhamster [.] Com, un sitio con poco más de 1.06 mil millones de visitas mensuales según SimilarWeb.com .

Las puertas utilizadas por este grupo también utilizan un sitio señuelo y con el tiempo han registrado dominios burlándose de las redes publicitarias y los proveedores de la nube.

Figura 6: Popunder malicioso en xhamster (llevado a primer plano)

El mecanismo de redireccionamiento es más sofisticado que los utilizados en otras campañas de publicidad maliciosa. Hay algunas comprobaciones de huellas digitales y conectividad del lado del cliente para evitar VPN y proxies, que solo apuntan a direcciones IP legítimas.

Figura 7: Tráfico de publicidad maliciosa de xhamster

Curiosamente, esta instancia de Smoke Loader también descarga Raccoon Stealer y ZLoader.

Malsmoke es probablemente la campaña de publicidad maliciosa más persistente que hemos visto este año. A diferencia de otros actores de amenazas, este grupo ha demostrado que puede cambiar rápidamente de redes publicitarias para mantener su negocio ininterrumpido.

Figura 8: Campañas de publicidad maliciosa relacionadas con malsmoke

¿Sigues usando Internet Explorer?

Los actores de amenazas que siguen aprovechando los kits de explotación para distribuir malware es una cosa, pero los usuarios finales que navegan con Internet Explorer es otra. A pesar de las recomendaciones de Microsoft y los profesionales de la seguridad, solo podemos ser testigos de que todavía hay una serie de usuarios (consumidores y empresas) en todo el mundo que aún no han migrado a un navegador moderno y totalmente compatible.

Como resultado, los autores de kits de explotación están exprimiendo hasta el último jugo de las vulnerabilidades en Internet Explorer y Flash Player (que se retirarán definitivamente el próximo año).

Los clientes de Malwarebytes han estado protegidos durante mucho tiempo contra la publicidad maliciosa y los kits de explotación. Continuamos rastreando e informando las campañas con las que nos encontramos para ayudar a hacer nuestra parte para mantener Internet más seguro.

Indicadores de compromiso

Puertas utilizadas en campaña de publicidad maliciosa que empuja a Raccoon Stealer

intica-deco [.] com
websolvent [.] me

Ladrón de mapaches

b289155154642ba8e9b032490a20c4a2c09b925e5b85dda11fc85d377baa6a6c
f319264b36cdf0daeb6174a43aaf4a6684775e6f0fb69aaf2d7dc051a593de93

Ladrón de mapaches C2s

34.105.147 [.] 92 / gate / log.php
chinadevmonster [.] Top / gate / log.php

Cargador de humo

23bef893e3af7cb49dc5ae0a14452ed781f841db7397dc3ebb689291fd701b6b

Cargador de humo C2s

dkajsdjiqwdwnfj [.] info
2831ujedkdajsdj [.] info
928eijdksasnfss [.] info
dkajsdjiqwdwnfj [.] info
2831ujedkdajsdj [.] info
928eijdksasnfss [.] info

Puertas utilizadas en la campaña de malsmoke

einlegesohle [.] com / indexx.php
adexhangetomatto [.] space
encelava [.] com / coexo.php
encelava [.] com / caac
uneaskie [.] com / ukexo.php
bumblizz [.] com / auexo.php
bumblizz [ .] com / auflexexo.php
bumblizz [.] com / caexo.php
bumblizz [.] com / caflexexo.php
bumblizz [.] com / usexo.php
bumblizz [.] com / usflexexo.php
canadaversaliska [.] info / coflexexo .php
canadaversaliska [.] info / coflexo.php
canadaversaliska [.] info / ukflexexo.php
canadaversaliska [.] info / ukflexo.php
canadaversaliska [.] info / usflexexo.php
canadaversaliska [.] info / usflexo.php
krostaur [. ] com / jpexo.php
krostaur [.] com / jpflexexo.php
krostaur [.] com / jpflexo.php
leiomity [.] com / ukexo.php
leiomity [.] com / ukflexexo.php
leiomity [.] com / usexo.php
leiomity [.] com / usflexexo.php
surdised [.] com / coexo.php
surdised [.] com /usexo.php

Tweets que hacen referencia a la campaña malsmoke

https: // twitter [.] com / MBThreatIntel / status / 1245791188281462784 https: // twitter [.] com / FaLconIntel / status / 1232475345023987713 https: // twitter [.] com / nao_sec / status / 1231149711517634560 https: // twitter [.] com / tkanalyst / status / 1229794466816389120 https: // twitter [.] com / nao_sec / status / 1209090544711815169