Trampas explosivas Hugo Boss anuncio Spreads Cryptowall ransomware
Ataques publicitarios maliciosos (Malvertising) han estado plagando sitios principales y sus visitantes mucho en estos últimos años.
Mientras que algunos son fáciles de detectar y deshacerse de, otros tienden a ser mucho más sofisticado y difícil de arrojar luz sobre.
El sábado 11, descubrimos un anuncio malicioso que se muestra en huffingtonpost.com , así como otros lugares de interés, una Zillow.com tales. Este anuncio se utiliza para entregar el Cryptowall ransomware a través de un flash explotar.
El anuncio fue cargado por un anunciante de terceros ( servedbyadbutler.com ) llamado inicialmente por delivery.first-impresión , donde ganó la subasta de licitación en tiempo real para $ 2.31 CPM (coste por mil impresiones).
http://delivery.first-impression .com/delivery?action=serve&ssp_id={sanitized}&ssp_wsid={sanitized}&dssp_id={sanitized}&domain_id={sanitized}& ad_id= {sanitized}&margin=0.55&cid={sanitized}&bn=inferno&ip_addr={sanitized}&ua={sanitized}&top_level_id={sanitized}&second_level_id={sanitized}6& page=huffingtonpost.com &retargeted=null&vender_data_used=0&height=250&width=300&idfa=null&android_id=null&android_ad_id=null&bid_price=2.699&count_notify=1&win_price=2.31
La mayoría de los anuncios maliciosos en Flash que estamos acostumbrados a ver redirigir a páginas externas, a menudo conduce a un paquete de exploits.
Éste es diferente en que el anuncio en sí (que podría ser para cualquier marca) también se utiliza como la de explotar. Esta es la obra del flash EK , que le gusta el 'dos pájaros de un tiro "enfoque.
Ganar la confianza de una agencia de publicidad y empaquetado de la hazaña en el anuncio en sí es un poco atrevido y arriesgado. Pero lo logró, sin embargo, y los malos detrás de él fueron capaces de empujar el ransomware Cryptowall a los visitantes que se estaban ejecutando versiones de Flash Player obsoletas.
Malwarebytes Anti Exploit usuarios ya estaban protegidos contra esta campaña, mientras que Malwarebytes Anti-Malware detecta la muestra Cryptowall. Instrucciones de eliminación se pueden encontrar en nuestros foros aquí .
Engage: BDR nos ha confirmado que la cuenta de anunciante infractor ha sido desactivado y que esta campaña ya no está activa.
Fuente: malwarebytes.org