Campaña maliciosa de Hanjuan EK 'March Madness'
El Kit menos conocido y sigiloso Hanjuan Exploit, que durante casi dos meses estaba utilizando un Flash de día cero (CVE-2.015-0313) para infectar a usuarios desprevenidos, ha sido bastante activa de nuevo durante el último par de semanas.
La campaña de publicidad maliciosa actual deriva de la Engage: red ad BDR y ha afectado a varios sitios de alto perfil:
- nydailynews.com
- metacafe.com
Un aparentemente inocente anuncio de lado carga una URL maliciosa sin ninguna interacción con el usuario (sin hacer clic es necesario).
Las personas que practican surf con Adobe Flash Player 16.0.0.296 son vulnerables a un ataque drive-by download que sucede en cuestión de segundos en el fondo.
Explotar URLs
www.entvotil.com/johuo.swf
www.qumeria.com/iswu.swf
www.fieldop.net/oueob.swf
www1.tresil.net/imhgcbj.swf
www3.vayield.com/aaegdct.swf
www2.vayield.com/test9.swf
www2.chokaro.com/tujji.php
Explotar análisis (Hanjuan EK)
Estamos viendo dominios giratorios que muestran patrones similares.
- Página anuncio falso con iframe a una página de aterrizaje explotar
- Explotar la página de destino
- Flash exploit (CVE-desde 2015 hasta 0313)
Este simple html página contiene una imagen, supuestamente para un anuncio de la bandera. Justo debajo es un iframe a la página de explotar aterrizaje.
Consta de código JavaScript ofuscado (highlight) que carga dinámicamente un objeto Flash Player (resaltado en rojo):
Este Flash Player exploit se utilizó en diciembre 2014 hasta febrero 2015 en una gran campaña de día cero .
Debido Hanjuan es extremadamente sigilo no tenemos una buena visibilidad en la carga útil de malware. Hanjuan alcanza a direcciones IP residenciales y se sabe que evadir VPNs e investigadores de seguridad honeypots.
Números Malvertising
El CPM (coste por mil) para los banners publicitarios maliciosos promedio de $ 0,45. En otras palabras, la exposición de un millar de usuarios a esta campaña de malware sólo cuesta alrededor de medio dólar.
Protección
Instamos a los usuarios a actualizar su Flash Player a la versión más reciente, vaya al sitio oficial de Adobe aquí .Además, se recomienda utilizar protección como una capa adicional de seguridad anti-Exploit.
Los usuarios de Malwarebytes Anti-Exploit ya estaban protegidos contra esta amenaza, aunque se olvidaron de remendar sus máquinas:
Malvertising todavía representa la mayor amenaza cuando se trata de drive-by ataques de descarga porque es barato de implementar y sin embargo muy eficaz.
Los chicos malos están orando en las personas que visitan sitios populares con los ordenadores vulnerables y el hecho de la cuestión es que este enfoque es muy exitosa.
Editores, redes de publicidad y anunciantes son parte de este problema, aunque no siempre directamente consciente de que está sucediendo a ellos. Por esta razón, los usuarios finales deben tomar el asunto en sus propias manos y proteger sus dispositivos.
Fuente: Malwarebytes