AOL, la empresa estadounidense de servicios de Internet y medios, ha dado algunos pasos para detener una serie de anuncios publicitarios maliciosos que se enviaban a través de sus sitios, incluyendo The Huffington Post, según reporta Computer Business Review.
SC Magazine explica que estos avisos redirigían a los usuarios a páginas de destino diseñadas paradistribuir exploit kits, que luego aprovechaban una vulnerabilidad en Flash para hacer la descarga del troyano Kovter, detectado por ESET como Win32/Kovter, en un ataque drive-by download.
Computer World sostiene que los anuncios maliciosos aparecían en las versiones para Estados Unidos y Canadá de The Huffington Post al 31 de diciembre, pero agrega que otros sitios también estaban afectados, incluyendo Weatherbug, Houston Press y Mandatory.
La identidad de aquellos detrás del ataque no se conoce a ciencia cierta.
Antes de llegar al sitio atacado, los usuarios afectados rebotaban en otros sitios, algunos usando cifrado HTTPS para esconder los servidores usados. Computer World asegura que uno de los puntos de redirección HTTPS usados estaba alojado en una página de Google Apps Engine, lo que dificultaba su localización. Sin embargo, se descubrió que el sitio que alojaba el exploit kit tenía un dominio .pl, el más utilizado en Polonia.
Este tipo de ataques, y el malvertising en general, no son algo poco común; de hecho, AOL sufrió una brecha similar en su red de anuncios hace dos meses, así como Yahoo y Match.com. En esa ocasión, el ransomware CryptoWall 2.0 fue el responsable, y trataba de obtener el pago de un rescate de sus víctimas, usualmente de un valor de alrededor de 500 dólares. Los atacantes detrás estaban recolectando 25.000 dólares por día.
Un vocero de AOL confirmó que los avisos afectados ya no aparecen en la red, y dijo: "AOL tiene el compromiso de otorgar nuevos niveles de transparencia al proceso de anuncios publicitarios, asegurándose de que los avisos sostienen estándares de calidad y crean experiencias positivas para los clientes".
