FireEye dio a conocer que gigante chino de anuncios por Internet alojó códigos maliciosos en sus espacios publicitarios virtuales
Con base en un trabajo de inteligencia, se detectó la campaña maliciosa y a partir de un trabajo conjunto entre FireEye y Baidu se desalojó el malware de los servidores infectados
MILPITAS, Calif. – Abril 14 de 2016 – FireEye, Inc. (NASDAQ: FEYE), el líder en la detención de los ciber ataques avanzados actuales, dio a conocer el descubrimiento de una campaña de publicidad maliciosa muy bien elaborada que usaba el anuncio de una API de uno de los más grandes motores de búsqueda: Baidu, con base en China. Para el efecto, los atacantes emplearon un simple rediccionador en HTML, en lugar de un más usual código Shell o un exploit, en una página web con aspecto aparentemente benigno. De esta forma se activaba un bucle de redireccionamiento que buscaba el contenido malicioso en espacios publicitarios comprometidos con lo que empezaba a introducir malwares en cadena dentro de una computadora. Esta campaña de publicidad maliciosa que involucra a la API de Baidu fue diseñada de forma que su fuente de origen resultaba difícil rastrear.
De acuerdo con Safwan Khan, Senior Malware Researcher de FireEye, la campaña fue detectada por primera vez a mediados de octubre del 2015, y hay casos de amenaza que estaban activos desde febrero de este año. Baidu tomó varias medidas para abordar la cuestión, como fue una revelación responsable a FireEye, al mismo tiempo que los internautas que navegaban a una página infectada por la campaña, como hxxp://www.duds[.]win eran dirigidos al URL: hxxp://www. ymnemh[.] info/index. htm
A partir del reconocimiento de ese ataque, FireEye contribuyó al diseño de estrategias de defensa en donde primero se identificaba el código maligno y a partir de ahí se crearon sistemas de protección que contribuyeron a proteger a la empresa y a sus usuarios.
Por ejemplo, en los sistemas que corren Windows, la última versión de Internet Explorer (IE) alertará sobre este tipo de malvertisement desde la versión 11 de su navegador, aunque Microsoft dejó de apoyar la ejecución de VBScript en el lado del cliente. Los usuarios que actualmente están usando la versión de IE anterior a la 11.0 pueden permanecer seguros de este tipo de ataques simplemente actualizando sus navegadores a la versión 11 o posterior.
De acuerdo con Khan, los representantes de FireEye contactaron a los directivos de Baidu para abordar el problema en forma responsable. Baidu contribuyó totalmente y actuó contra el agente invasor removiendo todos los contenidos malignos. También hicieron cambios inmediatos a las regulaciones de su plataforma de anuncios de manera que ciertos comportamientos dinámicos relacionados con la carga o descarga de archivos ejecutables de dominios sospechosos dejaron de permitirse.
Un cambio en el respaldo de los espacios publicitarios:
Aunque se suspendió el ataque de la campaña maliciosa debido a que los principales espacios publicitarios se retiraron, la campaña se cambió a las copias de seguridad de los espacios publicitarios. FireEye detectó ese cambio y avisó a Baidú, que tomó cartas en el asunto, y a partir de entonces la campaña ya no está activa, ya que a partir de entonces Baidu llevó a cabo una operación masiva de investigación y limpieza en sus espacios y plataformas de publicidad.
Entre otras acciones que se tomaron, destacan las siguientes:
• Del 14 al 18 de marzo, se llevó a cabo la recopilación de pruebas de la cuenta del atacante y todo su contenido malicioso se limpió.
• Actualmente ya es obligatorio tanto para las cuentas de usuarios anteriores como las actuales registrar un dominio y teléfono celular real y comprobable para que se puedan verificar, Las identificaciones relacionadas con contenido malicioso pueden ser pueden ser proporcionadas a las autoridades
• Baidu ha mejorado su mecanismo de detección para detectar contenido malicioso alojado en su plataforma de anuncios. Todo el contenido cargado también es totalmente explorado.
• Del 21 al 31 de marzo, Baidu cerró el canal de carga y descarga de los scripts definidos por el usuario y de los archivos Flash para su plataforma de publicidad. Esto significa que en el futuro no se podrá alojar otra campaña en los espacios publicitarios de los servidores de la empresa.
Acerca de Fire Eye Inc.
FireEye inventó una plataforma de seguridad basada en la máquina virtual construida especialmente para proporcionar una protección contra las amenazas en tiempo real a las empresas y gobiernos en todo el mundo en contra de la próxima generación de ataques cibernéticos. Estos ataques altamente sofisticados pueden pasar fácilmente por alto los sistemas tradicionales de defensa basados en firmas como la próxima generación de firewalls, IPS, antivirus y gateways. La plataforma de prevención contra amenazas de FireEye (FireEye Threat Prevention Platform). Proporciona, en tiempo real, protección dinámica sin el uso de firmas para proteger a una organización de todos los vectores de amenazas primarias y de las distintas etapas del ciclo de vida de un ataque. El núcleo de la plataforma FireEye comprende un motor de ejecución virtual, complementado con información sobre amenazas dinámicas para identificar y bloquear los ataques cibernéticos en tiempo real. FireEye cuenta con más de cuatro mil clientes en 67 países, incluyendo más de 680 en el ranking Forbes Global 2000.