24 oct. 2014

Malware #CryptoWall distribuido por Malvertising desde sitios argentinos

El sitio Noticias Argentinas (http://noticiasargentinas.com) fue una de las víctimas de una campaña de Malvertising, mediante la cual se distribuye malware a los sistemas de los usuarios que ingresan al sitio.

¿Qué es Malversting?

Son campañas de malware distribuidos desde sitios web legítimos utilizando como plataforma de infección publicidades online maliciosas.

¿Es necesario hacer clic en la publicidad para infectarse?

No, no es necesario en todos los casos ingresar a la publicidad para infectarse porque mediante la técnica "drive by download" se puede infectar el equipo con solo visitar el sitio web que contiene la publicidad maliciosa.
Mediante esta técnica y la explotación de vulnerabilidades en las aplicaciones instaladas por el usuario, es posible descargar y ejecutar archivos al equipo del usuario, independientemente del sistema operativo y sin que el mismo se percate de lo sucedido.

¿Cómo se produce la infección?

La infección, sin necesidad de hacer clic en la publicidad online, puede producirse, por ejemplo mediante el uso de  Adobe Flash, Java, o de la explotación de vulnerabilidades en el navegador del usuario.

En este caso los visitantes descargaron CryptoWall 2.0, un ransomware que cifra los archivos del equipo infectado para luego solicitar un rescate por los mismos. El usuario no podrá acceder a sus archivos y recibirá un mensaje con las instrucciones de pago mediante la red TOR (1,33 bitcoins = aproximadamente 700 dólares). Luego del pago del "rescate" recibirá las instrucciones para recuperar sus archivos.

Siendo que las transacciones con bitcoins son públicas y tomando en cuenta la cantidad de transacciones realizadas a las cuentas de rescate, se puede deducir que los delincuentes han recaudado aproximadamente U$S 750.000 (25.000 por día que duró la campaña).
Cabe destacar que Noticias Argentinas no fue vulnerado ni atacado, solo fue uno de los vectores de infección de esta campaña.

PCRisk ha publicado una guía para remover Crytowall y su dificultad para recuperar los archivos.

@adolfofioranel de la Redacción de Segu-Info

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!