Anuncios envenenados, JS:Prontexi

18 de febrero de 2010

De manera usual, el malware se expande a través de páginas web inocentes que han sido infectadas porque no han sido protegidas suficientemente. El método de infiltración por anuncios está creciendo en popularidad de manera asombrosa. En estos momentos, estamos frente al que probablemente sea el más grande envenenamiento de anuncios que hayamos visto nunca (todos los servicios importantes pueden estar afectados). Esto significa que tus ordenadores pueden resultar infectados simplemente leyendo un periódico online o haciendo una búsqueda en tu buscador favorito. Hemos llamado al origen de este ataque JS:Prontexi (código javascript que inicia la infección en el ordenador de la víctima usando varias vulnerabilidades como los últimos exploits en documentos PDF).

Todos los usuarios de avast! que tengan las actualizaciones al días están plenamente protegidos contra este ataque. En otras palabras, estamos impidiendo a los chicos malos que puedan acceder a tu sistema. Esto nos permite poder contar cuántos ordenadores están siendo protegidos por nuestro antivirus ante este ataque usando el sistema de inteligencia colectiva que incorpora avast! 5 antivirus.  El siguiente gráfico muestra el número de incidentes que hemos encontrado en los últimos 6 días en una ventana de 4 horas (clic en la imagen para ampliar):

js_prontexi_chart-300x196En el gráfico, sólo se muestran con su propia línea los 8 sistemas publicitarios más afectados. Los que cuentan con más infiltraciones son yieldmanager.com (Yahoo) y firmserve.com (FOX Audience Network), los cuales cubren más del 50%. La lista de servicios publicitarios con infiltraciones no está limitado al “Top 8” mostrado en el gráfico, estos dominios también están afectados:

 

  • unanimis.co.uk                4593
  • xtendmedia.com             4389
  • doubleclick.net                4076
  • vuze.com                        3599
  • openx.net                       2978
  • globaltakeoff.net            1915
  • specificclick.net               1726
  • bidsystem.com                1581

Casi todos los servicios arriba mencionados están enfocados a la publicidad, al menos una de las páginas que puedes visitar diariamente usan alguno de ellos. Los ficheros actuales que componen JS:Prontexi no están alojados en un solo dominio: el ataque usa varios generados de manera aleatoria. En algunos casos, incluso intenta ocultar el dominio añadiendo el prefijo “google.analytics.com”. La siguiente lista muestra algunos de los dominios que hemos visto que usa JS:Prontexi en los últimos 6 días (hemos decidido quitar los últimos 3 caracteres para hacerlos inaccesibles):

aawzcamdf???.com, acdbxyba???.com, aczgefrmp???.com, ajirfmra???.com, annvx???.in, aqxqiloqd???.com, bbeockzx???.com, bfqcffdxw???.com, bguwoxufe???.com, bra???.in, btnqvbosi???.com, coudfind???.org, eabeejee???.com, ehwozbkik???.com, elifant???.ru, eliyisgt???.com, fejxwacus???.com, footbal???.ua, galvang???.com, geone???.com, globos???.in, gmkfizxev???.com, google.analytics.com.ckzqfrxax???.info, google.analytics.com.eliyisgt???.info, google.analytics.com.ezqaxnm???.info, google.analytics.com.fanqhpyz???.info, google.analytics.com.hnstetlse???.info, google.analytics.com.jgvsjnhmv???.info, google.analytics.com.kmpbfdtkn???.info, google.analytics.com.muhrlwuzy???.info, google.analytics.com.nbtislvi???.info, google.analytics.com.omvdbdckn???.info, google.analytics.com.qxixemv???.info, google.analytics.com.rmkbyklbh???.info, google.analytics.com.rxflhciir???.info, google.analytics.com.vgmhlwrix???.info, google.analytics.com.yggxvnwum???.info, google.analytics.com.zelhnalb???.info, google.analytics.com.zsvihgpks???.info, googlein???.in, hdewptwh???.com, her???.info, hfgtiith???.com, hkhdhbhmg???.com, inflbjwlm???.com, jseaiulm???.com, jxlywtdh???.com, mcybnjvd???.com, mda???.info, nzlvcxrqf???.com, ore???.info, ore???.info, ore???.info, pianwenp???.com, qefshhsq???.com, qmyz???.info, quisyg???.info, rcykjdw???.com, retnchigm???.com, rilsgzhmh???.com, rsqkszbn???.com, rsvqcnpk???.com, rtvzguny???.com, sdt???.info, sjafjcaqq???.com, slydir???.biz, ssuqlqnrs???.com, tdscli???.com, tdscount???.com, tdwvginb???.com, tgsytldfd???.com, thjgjcgt???.com, uefxrwxu???.com, ueoovs???.in, ujge???.in, user???.info, ustp???.info, vquvmkzms???.com, wbvdeetfl???.com, wdxbntaji???.com, wsjnsit???.com, xaxijfaqb???.com, xdfkycpa???.com, xgzkuqgu???.com

El código JavaScript hospedado en los servidores usa una encriptación muy fuerte, además de ofuscación, lo cual hace que el script y los códigos de exploit no sean detectados por otros antivirus. Las siguientes imágenes muestran la detección de los scripts maliciosos y exploits PDF usados para infectar el ordenador de una víctima (clic en las imágenes para ampliarlas):

js_prontexi_script_detection-150x150

js_prontexi_pdf_detection-150x150 Como nota importante, destacar que GData usa el motor antivirus de avast!, de ahí la concordancia en la detección y nombre del malware.

JS:Prontexi ha llegado para quedarse y debe suponer un gran aviso no sólo para los desarrolladores de antivirus. Los servicios de publicidad también deben ser muy cautelosos en el contenido que están distribuyendo. A mucha gente no le gusta tener que ver anuncios, así que imaginaros si encima esos anuncios son una vía de entrada de malware a nuestro ordenador.

 

El presente artículo es una traducción y adaptación de un post escrito por Jiri Sejtko en el blog oficial de avast! en inglés.

Copyright © 2005-2020 Anti-Virus.es Todos los derechos reservados. Aviso legal - Avast y sus logos son marcas registradas de Avast Software, s.r.o.

licensemap-markerlaptop-phonemenu-circlecross-circlearrow-left-circlearrow-right-circlelayers linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram