56A7D9DE4EA7DACC677A9244A49FEE38 " />
Overblog
Edit post Seguir este blog Administration + Create my blog

Flash EK ataca de nuevo a través de DoubleClick de Google

por Bienvenidos a Portal Tecnologico 16 Abril 2015, 16:11 Flash EK DoubleClick Google malwares

Hace unos Días, escribi Sobre un  ataque de  publicidad maliciosa en el sitio web HuffingtonPost  A Traves De Una Red de anuncios; Que se Aprovecho De Una Vulnerabilidad en el Flash Player.

FUE Campaña Esta el sigilo y no mucho Duró, afortunadamente, pero Otro gran ataque también SE ESTABA Llevando ONU Do Alrededor al Mismo Tiempo, probablemente muy Por La Misma banda.

Trabajar con   ClarityAd  , rapidamente nos CONFIRMO la Actividad maliciosa Alrededor de 4.11 Que Mostro Una ad rojo Conocido (merchenta) con vínculos Directos Una DoubleClick de Google estan Atrapados en Un gran incidente publicidad maliciosa.

Varios sitios Principales se Vieron Afectados, incluyendo los Medios de Noticias Populares Porque la cadena maliciosa comenzo con DoubleClick de Google.

 Aunque DoubleClick No Es directamente responsable de cargar el Anuncio malicioso, se Inicia la cadena de confianza con el editor, Que:: Lamentablemente Tiene poco Control Sobre las Transacciones subsiguientes Tienen Que Lugar.

newflow

Al Ponerse en contacto merchenta, recibimos Una Respuesta Rápida. Segun Ellos, La Cuenta Utilizada pertenecia ONU Bidable.com  (otra Empresa Ofertas En tiempo real) y FUE uno de Sus Clientes Que fraudulento era.

Segun merchenta, La Cuenta se dio Por Terminada Una las 10 a.m. UTC del 15 de abril.

Detalles Técnicos

El DoubleClick URL inicial:

http://googleads.g.doubleclick.net/pagead/ads?client=ca-pub-9446401110326037&format=300x250&output=html&h=250&slotname=2167943057&adk=876131117&w=300&lmt=1428791820{shortened}

Ofertas En tiempo real (leer más Sobre RTB  aquí  ) se Lleva ONU cabo y pasa Por el anunciante merchenta:

api.merchenta.com/merchenta/analytics?campaignCode=BIDABLE-PF2AL-HERMESeaster-1&eventType=LOADED-RENDERING&stereotype=IMPRESSION&userHash=null&auctionId=GD5529a21200085e2b-abc9a029e006b7a_1_0
api.merchenta.com/merchenta/trackAuction?n=GD&c=BIDABLE-PF2AL-HERMESeaster-1&b=VSmiEgAIXisKvJoCAABrenpp7Z-Y6yb76gBLgw&a=GD5529a21200085e2b-abc9a029e006b7a_1_0&u=null

Por Ultimo, el Anuncio malicioso se carga directamente desde la web del Mismo anunciante:

cdn3.merchenta.com/static/adlet/BIDABLE-PF2AL-dbf0f4fd9875ec824aa00a1f9bbfa4467a4335aa.swf

MBAE
Explotar Análisis

El destello de Explotar Que se utilizó En Este ataque es exactamente La Misma Que La que HEMOS documentado en la Reciente publicidad maliciosa Huffington Post.

Vale la pena señalar que Esta SWF malicioso Tenia  deteccion de cero  en VirusTotal, Cuando Se presento Por primera vez.

Se Compone de La Misma ActionScript 3:

AS3

Se acumula Una matriz con código con cáscara el de fin de aprovechar v v esta vulnerabilidad a través de ROP ONU gadget de la ONU:

bytearray

Malwarebytes Anti-Exploit  Bloquea el Anuncio de parpadear malicioso de la Liberación de su carga útil.

No HEMOS recoger la carga útil En Este Caso Pero La que observamos en La Otra Campaña FUE Cryptowall.

Todas las redes de publicidad informados de Han Sido, Pero el ataque FUE La última vez Por UNOS Días Más probable Que infectan Una ONU Numéro significativo de las Personas.

Este Último EJEMPLO ES Otro Recordatorio de uña de las Grandes Debilidades con la publicidad en línea ahora Ahora. Las redes publicitarias Que recurran a Terceros y la cadena de confianza se pueden mameluco facilmente CUANDO UN une el actor de pícaro.

Hace poco Tuve Una Conversación Con Alguien Que Comparte Una muy interesante historia Sobre CÓMO los anunciantes hijo pícaro CAPACES de subvertir los Controles de Seguridad.

Estós ladrones plantean esencialmente Como Trabajar Para Una Compañía de Fortune 500 y de la ONU a Presentar una limpia Anuncio. La Red esta muy de publicidad Interesado Porque ESO va un des Ser Cliente gran Y Por Lo Que Asegurese de dar Cabida al cliente del del tanto de Como les Posible marzo

El Anuncio todavía pasa Por La Garantía de Calidad y Pruebas de Seguridad  Finalmente CONSEGUIR Listo para el prime time. Justo Antes De Que ESO ocurra, el anunciante pícaro lanza Una Nueva Versión del Anuncio (Con Solo Un cambio menor Qué dicen) y la roja de anuncios, Que No Quieren Perder ONU Cliente, se salta los Controles Que ya se hicieron.

RESULTA Que La Nueva Versión del Anuncio es malicioso y

 Como Un aclaramiento Completo Que Se mostrará A Traves De Las Redes Principales. Este es uno de los MUCHOS Sólo trucos anunciantes deshonestos usarán Para insertarse en la cadena.

                                                                    Fuente: Malwaresbytes.org POR 

Para estar informado de los últimos artículos, suscríbase:
Comentarios

Ir arriba