Cisco dijo que los ataques pueden ser encontrados en anuncios maliciosos en los sitios de Disney, Facebook y el periódico The Guardian.

El hallazgo llega poco tiempo despúes de que organizaciones privadas y judiciales de Estados Unidos trabajaran en una gran operación para apagar una botnet que distribuía malware bancario en línea, llamado también ransomware, una estafa muy rentable que surgió el último año.

La investigación de Cisco reveló la complejidad técnica y un camino altamente efectivo para infectar un gran número de computadoras con ransomware, el cual se describe con detalle en este blog.

"Es realmente insidioso", dijo Levi Grundert, un ex agente del Servicio Secreto y ahora líder técnico de investigación y análisis de amenazas en Cisco, en una entrevista telefónica el viernes.

Cisco tiene un producto llamado Cloud Web Security (CWS), el cual monitorea la navegación web de sus clientes y reporta si están navegando en dominios que se sospecha sean maliciosos. CWS monitorea billones de peticiones a páginas web por día, dijo.

La compañía notó que estaba bloqueando peticiones de 90 dominios, muchos de los cuales están en WordPress, por más del 17% de los clientes de CWS.

Investigaciones posteriores mostraron que muchos de los usuarios de CWS terminaban en esos sitios después de ver los anuncios en dominios de alto tráfico, como apps.facebook.com, awkwardfamilyphotos.com, theguardian.co.uk y go.com, propiedad de Disney, entre muchos otros.

Ciertos anuncios que aparecen en esos dominios, de cualquier forma, han sido manipulados. Si se da clic, redirigen a las víctimas a uno de los 90 dominios.

El estilo del ataque, conocido como malvertising ha sido un problema por mucho tiempo. Las redes de publicidad han tomado acciones para probar y detectar anuncios maliciosos colocados en su red, pero las revisiones de seguridad no son a prueba de tontos.