Anuncios maliciosos descargan malware desde Java.com y otros sitios legítimos

8097327748_d4c013f2c3_c

Cuando hablamos de páginas web que descargan malware, la mayoría de usuarios sigue teniendo en mente a páginas con contenido pornográfico o de dudosa reputación desde donde descargar software ilegal.

No obstante, hace ya tiempo que los sospechosos habituales dejaron de ser los únicos sitios web donde los usuarios podíamos infectarnos y cada vez vemos más casos de sitios web legítimos y de alto nivel que han sido comprometidos o que, como en esta ocasión, incluyen servicios de terceros que no controlan y pueden ser utilizados con finalidades delictivas.

Publicidad maliciosa

El caso que comentamos hoy salió a la luz recientemente y fue descubierto y analizado por la empresa de seguridad Fox IT. Se trata de la redirección de los usuarios que visiten un sitio web que utilice el servicio de anuncios AppNexus utilizando un kit de exploits conocido como Angler y que termina instalando el malware Asprox.
¿Y quién utiliza este servicio de anuncios? Pues Java.com, DeviantART, TMZ o Photobucket, entre otros. Sitios web que entre todos suman millones de visitas diarias de usuarios que en lo último que pensarían es que alguien está intentando infectarlos desde una de sus webs favoritas.

Webs legítimas redirigen a otras con malware

No obstante, a diferencia de otros casos anteriores, estas webs no han visto comprometida su seguridad, sino que ha sido un tercero en el que han depositado su confianza para que gestione la publicidad de su web el causante del problema. Durante varios días del mes de agosto, estos sitios web estuvieron poniendo en riesgo sin saberlo la seguridad de sus miles de visitas.

Angler Exploit Kit es una de las muchas herramientas diseñadas para facilitar a los delincuentes sus labores delictivas y normalmente suele encontrarse en foros especializados en estas actividades criminales. Una vez obtenida esta herramienta, el delincuente solo tiene que preocuparse de conseguir colocarla en la web objetivo y ella ya hará todo el trabajo sucio detectando posibles vulnerabilidades en los sistemas de los usuarios y descargando malware en sus máquinas.

El malware Asprox infecta a los equipos y los integra en su red de ordenadores zombis (botnet), obligándolos a realizar acciones sin el consentimiento de sus propietarios como el envío de spam, ataques a otras máquinas o todo tipo de fraudes online.

Una tendencia al alza

No es la primera vez que le sucede algo parecido a la empresa de publicidad que estaba incluyendo estos anuncios maliciosos entre sus clientes. Ya en el pasado mes de mayo, esta empresa estuvo proporcionando anuncios maliciosos que apuntaban a la plataforma Microsoft Silverlight, usada, entre otros, por los millones de usuarios del popular servicio de televisión por streaming Netflix.

Los delincuentes saben que las webs en las que confían los usuarios son un objetivo muy suculento y que les permite obtener miles (cuando no millones) de víctimas potenciales cada día. Es por eso que el aprovechamiento de cualquier punto débil que estas webs puedan tener es algo demasiado atractivo como para dejarlo pasar y no debemos extrañarnos si vemos casos similares dentro de poco.

Consejos y conclusión

Una vez hemos comprobado que la confianza en las webs legítimas no es suficiente para mantener nuestro sistema a salvo, es hora de que adoptemos algunas medidas para ayudarnos a prevenir infecciones cuando visitemos nuestra web favorita:

  • La mayoría de navegadores permiten deshabilitar o ejecutar a petición del usuario muchos de los complementos que carga una web cuando la visitemos. Vídeos en flash, ventanas emergentes o publicidad pueden ser bloqueados temporalmente y visualizarlos solo si nosotros lo deseamos. No obstante, hay que recordar que la experiencia de navegación cambia drásticamente, por lo que muchos usuarios pueden ver esta medida como demasiado radical.
  • Los complementos que instalamos en el navegador también deben actualizarse para evitar que sean utilizados por un kit de exploits para infectarnos. Contar con una política de actualización y “saneamiento” de estos complementos nos puede ayudar a evitar más de un disgusto.
  • Lo hemos dicho varias veces, pero nunca está de más repetirlo: complementos como Java son cada vez más innecesarios para la mayoría de los usuarios. Prueba a desactivar este y otro complemento que sepas a ciencia cierta para qué sirve, y si tu navegación no se ve afectada quizás es un buen momento para plantearse su desinstalación, reduciendo así los posibles agujeros de seguridad que pueden ser usados por los atacantes.
  • Utiliza una solución de seguridad actualizada que te ayude a detectar cuándo una amenaza está intentando infectar tu sistema. La mayoría de los incidentes de seguridad entre los usuarios se producen mientras navegan, por lo que no estaría de más leer qué pone en esa ventana de alerta que tu antivirus acaba de mostrar cuando has intentado acceder a una web determinada.

Esperamos que estos consejos sirvan para ayudar a protegernos mejor frente a estas amenazas que hace tiempo tumbaron el mito de “si navego por webs legítimas no me puede pasar nada”.

Josep Albors

Créditos de la imagen: <a href=»https://www.flickr.com/photos/epsos/8097327748/»>epSos.de</a> / <a href=»http://foter.com/»>Foter</a> / <a href=»http://creativecommons.org/licenses/by/2.0/»>Creative Commons Attribution 2.0 Generic (CC BY 2.0)</a>

Los ataques de Blackhat SEO y el robo masivo de datos centran el segundo cuatrimestre del año