EliteTorrent y Divxtotal llevan días distribuyendo ransomware a sus usuarios

Share this…

Si a lo largo de los últimos días has accedido a EliteTorrent, Divxtotal o cualquier otra página española de torrents cuya publicidad corre a cargo de Publited, has estado abierto a un posible ataque de ransomware debido a una campaña de malvertising.

A lo largo de la última semana, algunos de los sitios de torrents más populares en España han estado distribuyendo ransomware, a través de una campaña de publicidad maliciosa, a los usuarios que han accedido a estas webs.

Entre las webs de torrents que han estado infectando con malware a sus usuarios se encuentran algunas de las más utilizadas por los internautas españoles como Divxtotal con 24,5 millones de usuarios mensuales, EliteTorrent con 24 millones y Mejor Torrent con 23,9. Otras páginas conocidas como EstrenosDTL, Bajui y Tomadivx también han estado distribuyendo ransomwareentre sus usuarios.

Tal como explica el blog de Malwarebytes, la razón por la que este ataque ha durando tanto tiempo tiene que ver con que Publited, la red publicitaria que distribuía los anuncios maliciosos mediante redirecciones con iframes se había visto comprometida, dando acceso y el control total a los ciberdelincuentes, que podían acceder al servidor mediante algún tipo de puerta trasera o shell remoto.

EliteTorrent y Divxtotal llevan días distribuyendo ransomware a sus usuarios

CryptoWall distribuido a través de malvertising

De ahí que los atacantes, una vez tomado el control del servidor de publicidad, podían inyectar contenido dentro de la publicidad. Y en este caso lo que distribuían era el archiconocidoransomware CryptoWall que secuestra los archivos de la víctima hasta que éste paga un rescate. Obviamente, no todos los usuarios que han accedido a las citadas webs han sido infectados, sino que la campaña de malvertising sólo se ha dirigido a ciertos tipos de usuario y a ciertas horas del día.

Si no habíais tenido bastante con el tema de los neutrinos esta semana, el exploit kit utilizado para aprovechar la vulnerabilidad en este caso es el ya famoso Neutrino EK, ya usado hace algunas semanas para poner en jaque a miles de páginas WordPress. Así ha sido por lo menos durante la primera fase del ataque, aunque también se ha detectado el uso de Angler EK, uno de losexploit kits más prolíficos de los últimos tiempos.

Malwarebytes ya está trabajando junto a Publited para solventar el problema lo antes posible y que los usuarios de estas webs de torrents puedan seguir usándolas sin temor a ser infectados. La publicidad de estos sitios ya de por sí es bastante intrusiva, pero ahora con esta noticia su naturaleza invasiva casi parece lo de menos.

Fuente:https://www.malavida.com/