Importantes sitios web, afectados por el exploit Angler (Puede inyectar TeslaCrypt a traves de puerta trasera BEDEP en los navegadores web).

Se trata de un kit exploit de publicidad maliciosa que abre una puerta trasera llamada BEDEP y en algunos casos inyecta  el ransomware TeslaCrypt

Según han advertido algunos proveedores de servicios de seguridad, cientos de navegadores web podrían haber quedado expuestos a algún ransomware y otros malware después de que estos últimos días apareciera en las webs de alto perfil publicidad maliciosa.

Esta publicidad está conectada a servidores que alojan el kit exploit Angler, un paquete de software que sondea los ordenadores en busca de vulnerabilidades con el fin de ofrecer malware, explicó Trend Micro.

El distribuidor de sistemas de seguridad Trustwave escribió el lunes que se ha detectado una gran campaña de publicidad maliciosa relacionada con Angler. En un principio, no estaba claro si los dos proveedores estaban hablando sobre la misma campaña. Ambos escribieron en su blog que la campaña abría deliberadamente una puerta trasera llamada BEDEP que permitía a los atacantes introducir otro malware en los ordenadores. Trustwave añadió que en algunos casos habían visto que los ataques no sólo ofrecían BEDEP sino también TeslaCrypt, un tipo de malware encriptado.

Los atacantes estudiados por Trustwave, al parecer habían conseguido hacerse con un dominio llamado “brentsmedia[punto]com”, que en algún momento podría haber sido utilizado para publicidad online.

“BrentsMedia era probablemente un negocio legítimo y pensamos que no conocían la historia de Angler; seguramente la gente que estaba detrás de Angler intentaba utilizar la reputación del dominio para engañar a las compañías para introducir publicidad maliciosa en sus campañas”, escribió Trustwave.

“Muchos sitios webs de alto perfil sacaron un archivo JSON de brentsmedia[punto]com como parte de la descarga de los anuncios que se muestran en sus sitios”, explicaron desde Trustwave. El archivo JSON tenía 12.000 líneas de JavaScript fuertemente ofuscadas, lo que era sospechoso.

Este JavaScript, en parte, trata de averiguar si ciertos productos o herramientas de seguridad se encuentran en un ordenador. Si no hay, carga una ‘landing page’ de otro dominio en el que está alojado el kit Angler, según escribió Trustwave.

Los anuncios maliciosos se alojaron en dos compañías de publicidad online, una de ellas eliminó inmediatamente el problema al ser notificado por Trustwave, mientras que la otra aun no ha sido localizada.

Los sitios infectados según comunicó Trustwave incluyen answers.com y zerohedge.com. Por su parte, Trend Micro no ha hecho públicos los sitios donde detectó la amenaza.

Existen pequeños editores que pueden frenar la publicidad maliciosa, las compañías de publicidad online deberían poder filtrar estos anuncios maliciosos. Aunque esta detección es cada vez mejor, aún está lejos de ser perfecta.

La colocación de publicidad maliciosa en sitios webs de mucho tráfico supone la posibilidad de poder infectar una gran cantidad de ordenadores en un espacio mucho más corto de tiempo, lo que sería una gran ventaja respecto al simple spam.

La campaña de Angler observada por Trend podría “haber afectado a decenas de miles de usuarios sólo en las últimas 24 horas”, escribió Joseph C. Chen, investigador de fraude de Trend Micro. “Basándonos en nuestra monitorización, la publicidad maliciosa fue repartida por la red comprometiendo a varios de los sitios webs más visitados, incluyendo los de noticias, entretenimiento y de crónica política”, escribió Chen.

“Al escribir esta líneas, mientras que los portales más populares parecen haberse desecho de esta publicidad maliciosa, la campaña sigue su curso y por lo tanto se mantiene el riesgo de que los usuarios puedan descargar el malware en sus sistemas”, concluyó Chen.

Ver informacion original al respecto en Fuente:
http://cso.computerworld.es/alertas/importantes-sitios-web-afectados-por-el-exploit-angler