En los últimos meses, un grupo de piratas informáticos denominado Malsmoke ha estado infectando sitios populares de pornografía con anuncios maliciosos y luego los ha utilizado para enviar malware a las víctimas.
Según los investigadores de Malwarebytes, que han estado siguiendo esta campaña, la pandilla Malsmoke ha logrado abusar de "prácticamente todas las redes publicitarias para adultos", pero esta es la primera vez que el actor de amenazas golpea a un editor importante: el grupo colocó anuncios maliciosos en el xHamster, uno de los sitios para adultos más populares del mundo.
Los ataques de Malsmoke solo se dirigen a usuarios que ejecutan versiones vulnerables de Internet Explorer y Adobe Flash. Los anuncios maliciosos utilizan JavaScript para redirigir a los visitantes de portales para adultos a sitios maliciosos que alojan un kit de exploit diseñado para explotar las vulnerabilidades CVE-2019-0752 (Internet Explorer) y CVE-2018-15982 (Flash Player) para instalar malware (como Smoke Loader, Raccoon Stealer y ZLoader) en las máquinas de las víctimas.
“El mecanismo de redireccionamiento es más sofisticado que los utilizados en otras campañas de publicidad maliciosa. Hay algunas comprobaciones de conectividad y huellas dactilares del lado del cliente para evitar VPN y proxies, que solo apuntan a direcciones IP legítimas ”, señalan los investigadores.
“Malsmoke es probablemente la campaña de publicidad maliciosa más persistente que hemos visto este año. A diferencia de otros actores de amenazas, este grupo ha demostrado que puede cambiar rápidamente de redes publicitarias para mantener su negocio ininterrumpido ”, agregaron.
