Los investigadores de ESET descubrieron un nuevo exploit kit propagándose a través de publicidades maliciosas en varios sitios de noticias de buena reputación, que tienen millones de visitantes cada día. Por lo menos desde principios de octubre de 2016, los atacantes han estado apuntando a usuarios de Internet Explorer y escaneando sus computadoras en busca de vulnerabilidades en Flash Player. Explotando estas fallas, han estado tratando de descargar y ejecutar varios tipos de malware.
Los ataques entran en la categoría del llamado malvertising, debido a que el código malicioso se distribuye a través de banners publicitarios maliciosos.
Para empeorar la situación, los atacantes usan técnicas sigilosas e incluso paranoicas que complican el análisis; de la investigación de ESET surgió un extensivo reporte con detalles técnicos del exploit kit Stegano.
En este contexto, le pedí a Robert Lipovsky, uno de los investigadores senior de ESET, que nos diera un panorama no tan técnico del caso, para que todos los usuarios comprendan lo que está pasando.
¿Qué significa este hallazgo para los usuarios de Internet?
Significa que hay banners publicitarios con "píxeles infectados" que llevan a un nuevo exploit kit, diseñado para permitirles a los atacantes instalar malware en las computadoras de las víctimas. El usuario ni siquiera necesita hacer clic en el contenido malicioso; solo basta con que visite un sitio web que lo esté mostrando. Si su equipo usa una versión vulnerable de Flash Player, será comprometido a través de la explotación de una vulnerabilidad.
Luego, los atacantes tienen todo lo que necesitan para descargar y ejecutar el malware que deseen. Algunos de los payloads que analizamos incluyen troyanos bancarios, backdoors y spyware, pero las víctimas podrían terminar enfrentándose a un ataque de ransomware, por ejemplo.
Una vez más, esta amenaza muestra cuán importante es tener tu software actualizado y completamente parcheado, y estar protegido por una solución de seguridad confiable. En este caso, cualquiera de estas medidas te protege completamente de este ataque específico.
¿Dónde están los píxeles infectados?
Bueno, el nombre "Stegano" refiere a la esteganografía, una técnica que los atacantes usan para esconder partes de su código malicioso en los píxeles de los banners publicitarios. Específicamente, lo esconden en los parámetros controlando la transparencia de cada pixel. Esto solo genera cambios menores en el tono (color) de la imagen, haciendo que sean efectivamente invisibles a simple vista, por lo que las potenciales víctimas no los notan.
¿Cómo funciona el ataque?
Creo que el siguiente esquema es la mejor forma de explicar lo que está pasando en este caso:
El análisis muestra que los creadores del exploit kit Stegano se están esforzando por permanecer ocultos. ¿Qué los hace tan paranoicos?
Los atacantes lograron evadir las contramedidas diseñadas para descubrir y bloquear contenido malicioso en plataformas de publicidad, lo que resultó en que sitios legítimos sirvieran contenido infectado a millones de potenciales víctimas sin saberlo.
Además de eso, la versión maliciosa del anuncio se muestra solo a un grupo específico definido como blanco, seleccionado por el servidor de los atacantes. La lógica detrás de la decisión es desconocida y esto ayuda a los criminales a seguir evadiendo sospechas por parte de las plataformas publicitarias.
Pero esas no son las únicas razones por las que tratan de permanecer ocultos – y allí es donde se vuelven paranoicos.
Los criminales detrás de Stegano también están tratando de permanecer fuera del radas de los experimentados equipos de investigación de seguridad que cazan malware. Esconder código en los píxeles no sería suficiente para escapar de este tipo de atención, por lo que implementaron una serie de verificaciones para detectar si el código está siendo monitoreado. Si se detecta algún tipo de vigilancia, las actividades del exploit kit simplemente se detienen y no se sirve contenido malicioso.
¿Cómo saben cuando se está observando el código?
El exploit kit principalmente trata de detectar si se está ejecutando en un sandbox o en una máquina virtual creada con objetivos de detección. Además, el malware busca cualquier software de seguridad que pueda estar presente y envía esta información a sus operadores.
¿Puedes decir cuántos usuarios han visto estos banners con píxeles infectados?
Nuestros sistemas de detección muestran que en los últimos dos meses los anuncios maliciosos han sido mostrados a más de un millón de usuarios en varios sitios web populares. Ten en cuenta que esta es una estimación bastante conservadora basada solo en nuestra propia telemetría, que obtiene datos de los usuarios que participan de ESET LiveGrid®. Después de todo, los visitantes de algunos de estos sitios se cuentan en millones cada día.
¿Puedes ser más específico? ¿Cuáles fueron los sitios afectados?
El propósito de esta investigación es mostrar las actividades de los criminales y hacer que los usuarios estén a salvo de esta amenaza. En este caso, revelar los sitios afectados no añadiría valor agregado a tal fin. Por el contrario, podría proveer una falsa sensación de seguridad a aquellos que no los visitaron, ya que los banners podrían haber aparecido en prácticamente cualquier sitio que muestre anuncios publicitarios.
También deberíamos mencionar el daño reputacional que esto podría infligir en las páginas comprometidas, especialmente porque no hay nada que pudiesen haber hecho para prevenir estos ataques, ya que el espacio de anuncios dirigidos no está completamente bajo su control.
¿Qué debería hacer yo para mantenerme protegido de ataques de exploit kits?
En primer lugar, déjame resaltar de nuevo que aquellos que sean responsables al proteger sus computadoras están a salvo de estos ataques específicos. Mantener el sistema y todas las aplicaciones parcheadas y usar una solución de seguridad en Internet confiable son precauciones fuertes para prevenir estos ataques.
Sin embargo, para los usuarios incautos, el malvertising plantea una amenaza seria, y su única esperanza es que los banners maliciosos no lleguen a sitios que ellos visitan.