Como ya hemos indicado en varias ocasiones, en la actualidad los ataques en Internet nos pueden llegar desde los sitios o las fuentes más inesperadas, ya que los ciberdelincuentessiempre parecen ir un paso por delante de las firmas que luchan contra el malware en general, ya sea a nivel corporativo o individual.
Por lo que acabamos de saber ahora, un grupo de ciberdelincuentes apodado KovCoreG por algunos investigadores de seguridad, se ha dedicado a usar falsas actualizaciones de nuestros navegadores de Internet y Flash para engañar a los usuarios y difundir, a través de esta instalación en un principio totalmente inocente, el malware conocido como Kovter. En concreto estos atacantes usaron anuncios maliciosos en algunos portales para adultos con el fin de redirigir a los usuarios a un sitio fraudulento que anunciaba una actualización urgente del navegador web, así, dependiendo del software que estuviésemos usando en ese momento para movernos por la Red, se recibían mensajes diferentes y adaptados a cada caso.
Por ejemplo, a los usuarios que llegan a esta página a través de las propuestas Chrome o Firefox, se les pide que descarguen una actualización del navegador, mientras que a los usuarios de Internet Explorer o Edge, se les pide que descarguen una actualización del componente Flash. De este modo los archivos a descargar en realidad eran ficheros JavaScript para Chrome y Firefox, o HTA para las propuestas de Microsoft, que instalaban Kovter en ambos casos. Para los que no lo conozcáis, este es un programa de descarga de malware que puede entregar código malicioso en modo de publicidad o ransomware, entre otros formatos.
El malware Kovter llega por actualizaciones falsas del navegador web
Por lo tanto los investigadores de Proofpoint descubrieron esta campaña publicitaria e informaron inmediatamente a todos los sitios web afectados, como Pornhub, para que supiesen que sus anuncios estaban siendo utilizados para estos fines abusivos. Aunque todos ellos fueros eliminados en poco tiempo, los investigadores piensan que esta misma campaña de ataques vuelva a aparecer en breve y algún otro sitio, como ya está empezando a suceder en Yahoo.
De hecho este grupo en particular se ajusta a las tendencias más recientes relativas de malversación de publicidad en las que los anunciantes se centran en redirigir a los usuarios a sitios de ingeniería social cargados de estafas y descargas falsas. Sin embargo los investigadores detectaron algo curioso en esta campaña, y es que los archivos descargados no se ejecutarían en el ordenador si la dirección IP del PC no pasara los filtros geográficos determinados por los atacantes.
Para terminar diremos que hace cosa de dos semanas, los investigadores de seguridad de Malwarebytes descubrieron una campaña similar de publicidad maliciosa en MSN. com con anuncios maliciosos que redireccionaban a los usuarios a estafas de soporte técnico.
Fuente:https://www.softzone.es/2017/10/09/grupo-difunde-malware-kovter-traves-actualizaciones-falsas-navegadores/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
