0
0
Um grupo de criminosos cibernéticos chamado Malàsmoke tem como alvo sites pornográficos nos últimos meses, está colocando anúncios maliciosos em sites com temática adulta para redirecionar os usuários para explorar kits e fornecer malware.
De acordo com pesquisadores do Malwarebytes, a quadrilha estava abusando de praticamente todas as redes de anúncios adultos, mas na última campanha, eles bateram pela primeira vez em um editor de topo.
Desta vez, o grupo de crimes cibernéticos conseguiu colocar malverts no xHamster, um dos portais de vídeo adultos mais populares com bilhões de visitantes por mês.
Os anúncios maliciosos usam o código JavaScript para redirecionar os usuários do site pornô para um site malicioso que estava hospedando um kit de exploração projetado para explorar para explorar problemas CVE-2019-0752 (Internet Explorer) e CVE-2018-15982 (Flash Player).
Ao visitar o site malicioso com um navegador vulnerável, o kit de exploração oferece malwares como Smoke Loader, Raccoon Stealere ZLoader.
“Então vimos possivelmente a maior campanha até agora no site topo xhamster[.] com de um malvertiser que temos rastreado por mais de um ano. Esse ator de ameaças conseguiu abusar de praticamente todas as redes de anúncios adultos, mas esta pode ser a primeira vez que eles atingem um editor de topo.” lê a análise publicada pelo Malwarebytes.
“o ator de ameaças foi capaz de abusar da rede de anúncios Traffic Stars e colocar seu anúncio malicioso em xhamster[.] com, um site com pouco mais de 1,06 bilhão de visitas mensais de acordo com SimilarWeb.com“.
Os ataques que exploram kits de exploração diminuíram nos últimos anos devido à segurança melhorada dos navegadores, a maioria dos quais removeram o suporte ao Flash e ao IE.
Especialistas apontaram que o mecanismo de redirecionamento é mais sofisticado do que os usados em outras campanhas de malvertising. Os atores de ameaças implementam algumas verificações de impressão digital e conectividade do lado do cliente para evitar VPNs e proxies, desta forma eles só visam endereços IP legítimos.
“Malsmoke é provavelmente a campanha de malvertising mais persistente que vimos este ano. Ao contrário de outros atores de ameaças, esse grupo mostrou que pode mudar rapidamente as redes de anúncios para manter seus negócios ininterruptos.” conclui o Malwarebytes.
Os pesquisadores também publicaram Indicadores de Compromisso (IoCs) para esta campanha.
FONTE: SECURITY AFFAIRS