Malvertising: Un viejo conocido ataca otra vez

El dia de hoy estuve involucrado en un intercambio de tuits muy interesantes en los cuales se @ClausHoumann, @dudumimran y @gruber estaban comentando sobre el malvertising, sus implicaciones y algunos métodos para mitigar o minimizar su impacto, todo esto a raíz de un tuit que publiqué reseñando un artículo del portal del diario Londinense The Register.

El hecho es que el Malvertising como lo conocemos hoy, no es nuevo, ya en el 2007 William Salusky había escrito sobre este vector de ataque en el diario ISC de SANS Institute, en su articulo William dice:

El malvertising es una metodología criminal que se enfoca en la instalación de código malicioso las redes publicitarias en Internet

En el año 2007, el principal método de ataque utilizado eran los programas Flash que podían ejecutar Flash ActionScripts maliciosos. En su momento se desarrollaron herramientas como el SWF Intruder de OWASP, que ayudaron a mitigar estos casos y Adobe corrigió las vulnerabilidades descubiertas a esa fecha.

Pero ha ocurrido que con el descubrimiento de nuevas vulnerabilidades tanto en las aplicaciones como en los navegadores y siendo algunas de ellas vendidas en el mercado negro antes de ser publicadas para su corrección, ha traído como consecuencia un incremento en los ataques de Malvertising que hemos visto recientemente (2014 y 2015).

Ayer nuestros amigos de FireEye:  J. Gomez y Genwei Jiang publicaron un artículo donde expusieron el ataque que había sufrido  Forbes recientemente.

En su artículo explican con gran detalle cómo funcionaba el esquema de redirecciones que llevaba a los clientes de Forbes hasta un sitio controlado por el exploit kit conocido como Neutrino, desde donde se descargaba y ejecutaba un archivo con siete exploits especialmente diseñado para Adobe Flash Player. En la reseña Gomez y Jiang muestran que los exploit utilizados son relativamente recientes siendo: Uno del 2013, tres del 2014 y tres del 2015.

En base a eso que se podría recomendar? La principal recomendación es mantener el software actualizado, con esto se está cerrando la principal brecha que son las vulnerabilidades en las aplicaciones y en el sistema operativo. Segundo los usuarios deberían, si lo desean, instalar bloqueadores de publicidad y para aquellos usuarios que no pueden vivir sin ver publicidad, deberían al menos instalar y utilizar alguna herramienta que analice y detecte malware en sus equipos. Las empresas, deberían de una forma u otra establecer controles de seguridad que permitan detectar y controlar este tipo de ataques.

Referencias:

http://www.theregister.co.uk/2015/09/23/malvertising_forbes/?mt=1443034504223

https://twitter.com/dabzueta/status/646559845286604800

https://isc.sans.edu/diary/Malvertising/3727

https://en.wikipedia.org/wiki/Malvertising

https://www.fireeye.com/blog/threat-research/2015/09/malvertising_attack.html

https://isc.sans.edu/forums/diary/Actor+using+Angler+exploit+kit+switched+to+Neutrino/20059/

https://www.fireeye.com/blog/threat-research/2015/03/ads_gone_bad.html

https://www.alienvault.com/blogs/security-essentials/the-ethics-of-adblocking

https://www.peerlyst.com/blog-post/a-ciso-perspective-on-adblocking-and-ducking-the-deck

https://blog.avast.com/tag/malvertising/

https://www.admonsters.com/topic/malvertising

http://www.foxnews.com/tech/2015/08/04/hackers-exploit-flash-in-one-largest-malware-attacks-in-recent-history/

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s