Los servicios de anuncios utilizados en las páginas web son sin lugar a dudas un buen medio para distribuir malware, sobre todo por el alcance que poseen. El servicio Popcash ha sido víctima de un hackeo que ha provocado que una gran cantidad de anuncios web provoquen la descarga de un archivo ejecutable que instala una copia de CryptoWall.
Los
ciberdelincuentes en esta ocasión han cambiado de estrategia y han preferido
centrarse en las vulnerabilidades existentes en otros servicios para así
redirigir al usuario hacia el contenido que ellos deseen, o mejor dicho
provocar la descarga del ejecutable que instala este virus encargado de cifrar
el contenido del equipo del usuario.
Aunque se conoce el origen de la descarga, los expertos en
seguridad no logran ponerse de acuerdo en la fuente real, ya que hay quien
defiende que los ciberdelincuentes se están ayudando de dos vulnerabilidades
existentes en Internet Explorer y Adobe Flash Player para realizar este ataque.
Sin embargo, tal y como ya hemos apuntado con anterioridad,
todo parece indicar que el problema se encuentra en un fallo existente en el
servicio Popcash.
Permitir la modificación de la URL de los anuncios provoca la
distribución de CryptoWall
- Todo parece indicar que el fallo reside a nivel de gestor web y que los ciberdelincuentes pueden modificar la información mostrada por estos anuncios. Evidentemente el contenido gráfico no les interesa, centrándose sobre todo en las direcciones web, editándolas e incluyendo otras que provocan la descarga de un archivo ejecutable.
- Se trata de un archivo .exe por lo que el ataque solo va dirigido a los usuarios con sistemas operativos Windows. Después de esto lo que sucede no ha sufrido ninguna alteración: cifrado parcial de los archivos y solicitud del pago de una cantidad para recuperar el acceso a estos.