Según
profesionales de seguridad informática en México, servicios de acortamiento de
URL son a menudo empleados por los delincuentes cibernéticos para pasar enlaces
maliciosos en México. La organización International Institute of Cyber Security
que también proporciona servicios de hacking ético en México señaló que la
campaña de publicidad (HanJuan) maliciosa está diseñado para no explotar el
enlace corto pero un anuncio embebido dentro del servicio Ad.fly. Por lo tanto,
la publicidad maliciosa ocurre y el usuario esta redirigido al kit de exploit.
El
ataque comienza con la explotación del servicio Ad.fly. Básicamente, el
acortador utiliza la publicidad intersticial. Intersticiales son páginas web
que se muestran al usuario antes o después de que lo alcanza el contenido
deseado. Por lo general, intersticiales son controladas por un servidor de
anuncios.
Campaña
maliciosa similares al HanJuan exploit kit también conocida como Troya Timba y
Fobber indico experto de seguridad en la nube en México. El servicio de
publicidad - Ad.fly ha sido comprometido y explotado para vincular a los
usuarios a una pieza de software malicioso diseñado para la conseguir detalles
de inicio de sesión. Puede considerar el ataque como ataque de
man-in-the-middle ya que el navegador del usuario tiene mucha información de
diversas credenciales.
Los investigadores de seguridad informática en México de
iicybersecurity dicen que esta publicidad maliciosa se encuentra en algunos
sitios web famosos, entre ellos algunos son:
dailymotion.com
theblaze.com
nydailynews.com
tagged.com
webmail.earthlink.net
mail.twc.com
my.juno.com
La
amenaza es un ataque de drive-by download que ocurre en cuestión de segundos y
no requiere la interacción del usuario, es decir, no se requiere un clic para
infectarse. Normalmente, un drive-by download es muy sencillo a menos que se
trata de Java o falle el navegador. En el caso de Flash, que es completamente
transparente y el usuario no sabría nada de ese ataque.
El sistema de redirección maliciosa de exploit kit es
bastante sofisticado, como se indica investigadores de seguridad en la nube. Las primeras sesiones cargan el anuncio intersticial
a través de una nota publicitaria de JavaScript codificada: Una vez cargado el
kit HanJuan, Flash Player e Internet Explorer son despedidos antes de cargar el
payload en el disco duro. La vulnerabilidad explotada en Flash Player es
CVE-2015-0359, y el de IE - CVE-2014-1776. Cada uno puede ser empleado,
dependiendo del perfil del usuario. Además, la carga útil más probable contiene
varias capas de cifrado - tanto en el propio binario y las comunicaciones C
& C, por lo que toda la campaña malicioso es muy complejo.
Para
estar protegido contra la explotación de los kits, los usuarios pueden seguir
algunos consejos de seguridad de Mike Stevens profesional de hacking ético en México, tales como:
•
Actualizar frecuentes Java, los productos de Adobe, Silverlight y Flash.
•
Apague Java y Flash cuando no se necesita.
•
Implementar un programa de aplicación de parches.
•
Mantener una solución anti-malware.
Para
las organizaciones la punta de seguridad importante es:
•
Eliminar o restringir los derechos de nivel de administrador para los empleados
no expertos.
Para asegurarse de que el equipo no se ha afectado por el
HanJuan EK, realiza un análisis completo de los sistemas, se recomienda experto
de iicybersecurity.
0 comments:
Post a Comment