Palermo Online Noticias IMAGEN

Malvertising está aprovechando el COVID-19 para atacar a los usuarios de Internet Explorer y robar su información

Campaña de malvertising está aprovechando el COVID-19 para atacar a los usuarios de Internet Explorer y robar su información

Fallout Exploit Kit es utilizado para distribuir Kpot v2.0 a personas que utilizan versiones anticuadas de Internet Explorer

Los ciberdelincuentes están aprovechándose de la crisis del COVID-19. Recientemente, Avast descubrió a ciberdelincuentes modificando sus campañas de malvertising para adaptar sus campañas publicitarias maliciosas, convirtiéndolas en relevantes para la crisis de COVID-19. Aquellos que están detrás de esta operación compran espacio publicitario en una red de publicidad para mostrar anuncios malignos en sitios web. Ahora utilizan nombres de sitios web que parecen albergar información relacionada con el coronavirus y, por lo tanto, hacen creer a los operadores de redes publicitarias que no son maliciosos. Esta campaña de malvertising en particular hospeda un kit de explotación llamado Fallout, que intenta explotar las vulnerabilidades de versiones anteriores de Internet Explorer, haciéndolo sin que el usuario intervenga o sea consciente de que algo está sucediendo, a fin de instalar Kpot v2.0, un programa de robo de información/contraseñas.

 El kit de explotación de Fallout existe desde 2018 y, en su mayor parte, se ha dirigido a usuarios japoneses y surcoreanos. El 26 de marzo de 2020, quienes ejecutan la campaña registraron el dominio covid19onlineinfo[.]com y desde entonces han rotado los dominios en los que está alojado el kit de explotación, registrando unos seis dominios al día en un intento de eludir las búsquedas del antivirus.

El malvertising suele estar alojado en sitios de streaming y suele abrirse automáticamente en una nueva pestaña cuando el usuario hace clic en el botón de reproducción para ver un vídeo. Cuando un usuario con el kit de explotación de Fallout visita un sitio que alberga el malvertising y utiliza una versión anticuada de Internet Explorer, el kit de explotación intenta acceder a la computadora del usuario. Intenta explotar una vulnerabilidad en Adobe Flash Player (CVE-2018-15982, ajuste publicado en enero de 2019), que puede conducir a la ejecución arbitraria de código, y una vulnerabilidad de ejecución remota en el motor VBScript que afecta a varias versiones de Windows (CVE-2018-8174, ajuste publicado en mayo de 2018). Esto puede causar que Internet Explorer se bloquee; esta es la única bandera roja que el usuario puede advertir.

El kit de explotación ya infectó ordenadores valiéndose de varios ladrones de contraseñas e información y troyanos bancarios. Actualmente, el ladrón de contraseñas e información Kpot v2.0 está siendo distribuido. Intenta robar información básica, como el nombre del ordenador, el nombre de usuario de Windows, la dirección IP, el software instalado en el dispositivo, el GUID de la máquina y más, enviando esta información a un servidor de comando y control.

Luego el malware roba contraseñas y otros archivos. De acuerdo con el equipo de investigación de Proofpoint que analizó el malware de Kpot, los siguientes comandos pueden ser enviados por el servidor de comando y control al malware:

● Robar cookies, contraseñas y datos de autocompletado de Chrome

● Robar cookies, contraseñas y datos de autocompletado de Firefox

● Robar cookies de Internet Explorer

● Robar varios archivos de criptomonedas

● Robar cuentas de Skype

● Robar cuentas de telegramas

● Robar cuentas de Discordia

● Robar cuentas de Battle.net

● Robar las contraseñas de Internet Explorer

● Robar cuentas de Steam

● Hacer una captura de pantalla

● Robar varias cuentas de clientes FTP

● Robar varias credenciales de Windows

● Robar varias cuentas de clientes de Jabber

● Eliminarse

Hasta el 14 de abril de 2020, Avast frustró 178.814 intentos de ataque dirigidos a 96.278 usuarios en todo el mundo. A continuación presentamos un cuadro con los principales países que han sido objeto de estos ataques.

PaísIntentos de ataque bloqueadosNúmero de usuarios en la mira
Canadá37.34212.496
Estados Unidos30.00113.930
Japón17.3068.438
España15.4849.609
Italia10.4946.648
Australia6.2222.780
Brasil5.8334.051
Francia5.8134.183
Turquía3.9002.568
Alemania3.3312.452

Cómo protegerse

Jan Vojtěšek, analista de malware de Avast, creó un conjunto recomendaciones para mantenerse a salvo de estas amenazas digitales:

●    Los usuarios deben tener instalado un software antivirus, que actuará como una red de seguridad, detectando y previniendo ataques maliciosos como éste.

●  Siempre mantenga el software, los navegadores y los sistemas operativos actualizados. Las actualizaciones son importantes ya que no solo ofrecen nuevas características, sino que pueden incluir parches de seguridad para corregir las vulnerabilidades que podrían ser una puerta de entrada para intrusiones. 

●    Deshabilite Flash, a menos que sepa que lo necesita. Flash ya no es tan usado en muchos sitios web, pero los ciberdelincuentes siguen abusando de sus vulnerabilidades

●    Habilitar la nueva función de Protección de Contraseña de Avast, que se encuentra en la sección de privacidad de Avast Premium. La Protección de la Contraseña de Avast le alerta si un programa intenta acceder a las contraseñas guardadas en Chrome o en Firefox.