56A7D9DE4EA7DACC677A9244A49FEE38 " />
Overblog
Edit post Seguir este blog Administration + Create my blog

Campaña maliciosa de Hanjuan EK 'March Madness'

por Bienvenidos a Portal Tecnologico 24 Marzo 2015, 17:37 Engage Hanjuan Exploit Exploit red ad BDR Explotar URL Anuncio anuncio falso Flash Player exploit seguridad anti-Exploit. Malwarebytes Anti-Exploit

El Kit menos conocido y sigiloso Hanjuan Exploit, que durante casi dos meses estaba utilizando un Flash de día cero  (CVE-2.015-0313) para infectar a usuarios desprevenidos, ha sido bastante activa de nuevo durante el último par de semanas.

La campaña de publicidad maliciosa actual deriva de la Engage: red ad BDR y ha afectado a varios sitios de alto perfil:

  • nydailynews.com
  • metacafe.com

Un aparentemente inocente anuncio de lado carga una URL maliciosa sin ninguna interacción con el usuario (sin hacer clic es necesario).

anuncio

Las personas que practican surf con Adobe Flash Player 16.0.0.296 son vulnerables a un ataque drive-by download que sucede en cuestión de segundos en el fondo.

Explotar URLs

www.entvotil.com/johuo.swf
www.qumeria.com/iswu.swf
www.fieldop.net/oueob.swf
www1.tresil.net/imhgcbj.swf
www3.vayield.com/aaegdct.swf
www2.vayield.com/test9.swf
www2.chokaro.com/tujji.php

Explotar análisis (Hanjuan EK)

Estamos viendo dominios giratorios que muestran patrones similares.

  • Página anuncio falso con iframe a una página de aterrizaje explotar
  • Explotar la página de destino
  • Flash exploit (CVE-desde 2015 hasta 0313)

Fiddler_qumeria

Página anuncio falso

Este simple html página contiene una imagen, supuestamente para un anuncio de la bandera. Justo debajo es un iframe a la página de explotar aterrizaje.

fakead2

La página de destino

Consta de código JavaScript ofuscado (highlight) que carga dinámicamente un objeto Flash Player (resaltado en rojo):

fuente

Flash Player exploit (CVE-2015-0313)

Este Flash Player exploit se utilizó en diciembre 2014 hasta febrero 2015 en una gran campaña de día cero .

Flash

Carga útil

Debido Hanjuan es extremadamente sigilo no tenemos una buena visibilidad en la carga útil de malware. Hanjuan alcanza a direcciones IP residenciales y se sabe que evadir VPNs e investigadores de seguridad honeypots.

Números Malvertising

El CPM (coste por mil) para los banners publicitarios maliciosos promedio de $ 0,45. En otras palabras, la exposición de un millar de usuarios a esta campaña de malware sólo cuesta alrededor de medio dólar.

Protección

Instamos a los usuarios a actualizar su Flash Player a la versión más reciente, vaya al sitio oficial de Adobe aquí .Además, se recomienda utilizar protección como una capa adicional de seguridad anti-Exploit.

Los usuarios de Malwarebytes Anti-Exploit  ya estaban protegidos contra esta amenaza, aunque se olvidaron de remendar sus máquinas:

MBAE

Malvertising todavía representa la mayor amenaza cuando se trata de drive-by ataques de descarga porque es barato de implementar y sin embargo muy eficaz.

Los chicos malos están orando en las personas que visitan sitios populares con los ordenadores vulnerables y el hecho de la cuestión es que este enfoque es muy exitosa.

Editores, redes de publicidad y anunciantes son parte de este problema, aunque no siempre directamente consciente de que está sucediendo a ellos. Por esta razón, los usuarios finales deben tomar el asunto en sus propias manos y proteger sus dispositivos.

                                                                                                      Fuente: Malwarebytes

Para estar informado de los últimos artículos, suscríbase:
Comentarios

Ir arriba