Interceptan campaña de publicidad maliciosa que usa red publicitaria de Yahoo!
Más detalles:
La IP 66.85.XXX.172 actúa como rotador. Un rotador es un enlace a un Sistema de Administración de Tráfico que apuntará a los usuarios hacia distintos destinos cada vez que se solicite ese enlace. También podría incluir el nombre del grupo que difunde el malware o una campañia de ID. Según los detalles de whois el nombre de la organización es coolservers.ru.Los ciber-criminales usualmente se apoyan en el malvertising para conseguir sus objetivos maliciosos en situaciones en las que no pueden comprometer remotamente un sitio web legítimo en particular mediante un ataque directo en la forma de, por ejemplo, un ataque de explotación remoto de inyección SQL. En este caso, mediante ingeniería social lo consiguen en una red publicitaria de alto tráfico como la plataforma de Yahoo! para poder llegar a millones de potenciales víctimas explotables. Afortunadamente, en esta campaña redirigen a los usuarios a un programa falso de seguridad, comparado con una situación en la que podrían haber abusado de su acceso a la red publicitaria para servir explotaciones del lado cliente.
El dominio server72.helpping.uni.me es uno de esos proveedores gratuitos de dominios y por supuesto que no tienen ninguna información de whois disponible como es usual. Un falso escaner llamado Windows Secure Kit 2011 está alojado en esa IP.
Artículos relacionados:
- Investigadores interceptan una campaña que sirve explotación del lado cliente
- Investigadores interceptan dos capañas de malware que explotan el lado cliente
Yahoo! Inc. fue notificado que un falso avisador estaba usando actualmente su plataforma de publicidad, y rápidamente tomaron medidas para mitigar la amenaza presentada por las publicidades servidas a través de esta.
Traducción: Raúl Batista - Segu-InfoAutor: Dancho Danchev
Fuente: Webroot Threat Blog
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!