Muchas de las páginas maliciosas descargan el troyano Shlayer

Malvertising: se venden mil URLs que redirigen a páginas maliciosas

35
Malvertising

Existen más de mil dominicos inactivos, que, al ser visitados, redirigen a los visitantes a URLs no deseadas que han sido detectadas como maliciosas, según describen los investigadores de Kaspersky.

Cuando las empresas dejan de pagar por su dominio, estos pueden ser adquiridos y puestos a la venta mediante subastas, informa Kaskersky. Los que intentan visitar el sitio web inactivo son redirigidos a la página de subastas donde ven que el dominio está actualmente a la venta o, al menos, debería estarlo. Sin embargo, al ser sustituido el stub, por ejemplo, por un enlace malicioso, los estafadores crean un esquema para infectar a los usuarios o generar beneficios a sus expensas.

Mientras investigaban una herramienta de asistencia de un popular juego online, los investigadores de Kaspersky detectaron un intento de la aplicación de transferirlos a una URL no deseada. Esta URL estaba a la venta en un sitio de subastas. Sin embargo, en lugar de redirigir a la página correcta que mostraba el dominio a la venta, la redirección transfería a los usuarios a otra página. 

Así funciona el troyano Shlayer

Un análisis en profundidad llevó a los investigadores a descubrir alrededor de 1.000 sitios webs puestos a la venta en distintas plataformas de subastas. Al realizar la redirección, estas 1.000 páginas transfirieron a los usuarios a más de 2.500 URLs no deseadas. Muchas de ellas descargaban el troyano Shlayer, una amenaza de macOS que instala adware en los dispositivos infectados y se distribuye por páginas webs con contenido malicioso.

Entre marzo de 2019 y febrero de 2020, el 89% de estas redirecciones de malvertising llevaban a páginas relacionadas con publicidad, mientras que el 11% eran maliciosas: se solicitaba a los usuarios que instalaran malware o que descargaran documentos MS Office o PDFs infectados, o las propias páginas contenían código malicioso.

Según los expertos, el razonamiento detrás de este esquema de múltiples capas podría ser de naturaleza financiera: los estafadores reciben ingresos por dirigir el tráfico a las páginas, tanto a las que son páginas de publicidad legítima como a las que son maliciosas. Esto es lo que se conoce como “malvertising”. Una de las páginas maliciosas descubiertas, por ejemplo, recibió 600 redirecciones de media en sólo diez días; lo más probable es que los delincuentes reciban un pago basado en el número de visitas. En el caso de Shlayer, los que distribuyen el malware reciben un pago por cada instalación en un dispositivo.

Es probable que esta estafa sea el resultado de un fallo en el filtrado de anuncios del módulo

“Desafortunadamente, los usuarios pueden hacer muy poco para evitar ser redirigidos a estas páginas maliciosas. Los dominios que tienen estas redirecciones fueron en algún momento recursos legítimos, que quizá los usuarios visitaban con frecuencia en el pasado. Y no hay forma de saber si ahora están transfiriendo a los visitantes a páginas que descargan malware. El reto es que el hecho de aterrizar o no en un sitio malicioso varía: si un día se accede al sitio desde Rusia, no pasará nada. Sin embargo, si luego intentas acceder con una VPN, puede que te envíen a una página que descargue Shlayer. En general, estos esquemas son complejos, lo que dificulta su total descubrimiento, por lo que la mejor defensa es disponer de una solución de seguridad completa en su dispositivo“, comenta Dmitry Kondratyev, analista junior de malware.

Para reducir el riesgo de infección por troyanos desde sitios maliciosos, los expertos de Kaspersky recomiendan:

  • Instalar programas y actualizaciones sólo de fuentes de confianza
  • Utilizar una solución de seguridad fiable como Kaspersky Security Cloud con funcionalidad Anti-Phishing que previenen redirecciones a páginas sospechosas.