Numerosos usuarios han indicado que la publicidad que aparece a través de la aplicación de Skype está proporcionando descargas maliciosas que, al abrirse, pueden activar ransomware.
La noticia del fallo fue dada a conocer por Reddit. En la publicación original indica que la pantalla inicial de Skype, la primera que se muestra en la versión comercial del software, estaba colocando publicidad maliciosa, pretendiendo ser una actualización crítica para el plugin web de Flash.
De acuerdo con la publicación, la publicidad provoca la descarga de una aplicación HTML que cuando se abre puede descargar un payload malicioso, el cual bloquea la computadora del usuario y cifra los archivos para pedir rescate.
Otros usuarios también se quejaron de fallos similares en los anuncios de Skype, con al menos dos personas más teniendo el mismo “Flash falso”.
Sabiendo que es malicioso, el usuario no ejecutó la aplicación y en su lugar deconstruyó y publicó el código. El anuncio de “Flash falso” está diseñado para hacer blanco a los equipos Windows, obligando a descargar. Al abrirse activa JavaScript ofuscado; el código ejecuta una nueva línea de comandos, entonces borra la aplicación que el usuario acaba de abrir y ejecuta comandos de PowerShell, con el cual se descarga un Encoded Script de JavaScript (JSE) de un dominio que ya no existe (como uno de muchos dominios desechables empleados para ocultar la operación del atacante). Todos estos pasos, encadenados, ayudan al malware a evadir la detección de las herramientas antivirus.
“Es generalmente llamado ‘gotero de dos pasos’”, indicó Ali-Reza Anghaie, cofundador de la firma de ciberseguridad Phobos Group, en un correo. “Es efectivamente el componente utilitario del malware el que decide qué más hacer basado en el servidor de comando y el control al que se conecta”. Debido a que el dominio no existe más, es imposible descargar el payload para determinar exactamente qué fue. Anghaie dijo que “en 99% de los casos se trata de ransomware”.
Todos los indicios indican que este anuncio de “Flash falso” es un derivado de la reciente campaña del ransomware Locky que también distribuye al troyano Kotver, el cual permanece en el sistema para llevar a cabo fraude de clics y campañas de publicidad maliciosa. Locky, que se conviritió en una de las amenazas de ransomware más notable el último año, usa un ataque malicioso similar basado en JavaScript para bloquear los equipos, el cual se ejecuta directamente en Windows sin la ayuda de otra aplicación.
Una muestra similar de malware distribuida por el anuncio de “Flash falso” se cargó en X-Force de IBM, un sitio de inteligencia para intercambio de amenazas. Aunque el payload es descargado de otro dominio desechable, el malware coincide con el patrón de las direcciones web empleadas en este ataque.
No se sabe cuántos dominios son empleados en esta campaña, pero se piensa que cada dominio se registra y elimina rápidamente para evitar que el atacante pague por el dominio y para prevenir que los investigadores indaguen alrededor.
Esta no es la primera vez que Skype ha sido golpeado por un ataque de anuncios. Se reportó que en 2015 los anuncios maliciosos vistos en el cliente de Skype llevaban a los usuarios a anuncios falsos de Java o Flash. Reportes similares de ataques del kit de exploit Angler el año pasado apuntan a una plataforma de anuncios, que había dejado pasar una campaña publicitaria maliciosa.
Fuente:https://www.seguridad.unam.mx
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
