Malsmoke

Malsmoke es el nombre que los investigadores de infosec dan a una campaña de ataque y al grupo de piratas informáticos responsable de la misma. Los atacantes desplegaron amenazas de malware infostealer en las computadoras de usuarios desprevenidos. Las cadenas de ataque iniciales involucraron kits de explotación dirigidos a las vulnerabilidades de Internet Explorer y Adobe Flash para entregar el cuentagotas Smoke Loader. Depender de las vulnerabilidades del software en su ciclo de fin de vida significa que el grupo objetivo potencial es bastante limitado cuando el software en cuestión puede considerarse obsoleto, especialmente.

Por lo tanto, la campaña de Malsmoke decidió deshacerse de su plan de ataque inicial y sustituirlo por anuncios emergentes corruptos para una actualización falsa de Java, con esta táctica capaz de afectar a Google Chrome, el navegador web más utilizado. La carga útil de malware eliminada también se modificó, y Malsmoke ahora ofrece una variante de ZLoader. Inicialmente, ZLoader se lanzó como un troyano bancario que intentaba recopilar información sobre pagos y tarjetas de crédito de las víctimas infectadas. Las capacidades del malware se ampliaron posteriormente a través de varias versiones para convertir la amenaza en un recopilador de información completo que puede recopilar credenciales de usuario y otros datos privados de una amplia gama de instituciones financieras.

Para maximizar la exposición de sus anuncios emergentes corruptos, el actor de amenazas detrás de Malsmoke abusó de prácticamente todas las redes publicitarias para adultos. Si bien la orientación a sitios web para adultos es una práctica común para los ciberdelincuentes, la mayoría de las campañas dañinas no pueden pasar de sitios web con poco tráfico. Malsmoke, por otro lado, había logrado colocar sus anuncios corruptos en xHamster, uno de los sitios web más grandes, no solo en la industria para adultos, en Internet con alrededor de mil millones de visitantes mensuales.

Los usuarios que se enamoran de los anuncios de Malsmoke y hacen clic en ellos son llevados a una página de señuelo especialmente diseñada que contiene varias imágenes de supuestos videos para adultos. Sin embargo, al iniciar cualquiera de los videos mostrados, aparecerá un mensaje de error que indica que falta el complemento Java 8.0. Para continuar viendo el video, se le pide al usuario que descargue una actualización falsa de Java llamada JavaPlug-in.msi. El archivo lleva la carga útil de ZLoader. Para fortalecer aún más la pretensión de que todo es legítimo a la perfección, la actualización dañada se firma digitalmente como un instalador de Microsoft.

Los anuncios que se muestran en sitios web para adultos son notoriamente riesgosos. Los usuarios deben tener mucho cuidado cuando decidan hacer clic en uno.