Investigadores en seguridad han descubierto una campaña de publicidad maliciosa usada para distribuir malware a los visitantes del sitio The Huffington Post, así como en otros sitios mediante anuncios maliciosos almacenados en la red de publicidad de AOL.

Al final del año pasado, Cyphort Labs, una firma de seguridad especializada en detectar amenazas de malware, notó que un conjunto de anuncios maliciosos eran mostrados en las versiones estadunidense y canadiense del popular sitio de noticias The Huffington Post.

Los anuncios maliciosos eventualmente redireccionan a los visitantes a otros sitios que almacenan kits de explotación con el fin de atacar las computadoras de las victimas e instalar malware.

Los investigadores descubrieron que la campaña de publicidad maliciosa se originó con anuncios almacenados en la red de publicidad de AOL Advertising.com. Una vez que se da clic sobre un anuncio, los usuarios son redireccionados a través de una serie de saltos (algunos usan conexiones cifradas HTTPS) hacia una página que almacena los kits Neutrino Exploit o Sweet Orange Exploit.

"Es interesante que los atacantes utilizaran una combinación de redirecciones HTTP y HTTPS para ocultar los servidores involucrados en este ataque", menciona Cyphort. "El redireccionamiento HTTPS está alojado en una página de Google App Engine. Esto hace que el análisis de tráfico basado en PCAP sea más difícil, ya que el tráfico HTTPS está cifrado."

El paquete de exploits hace uso de Adobe Flash y Scripts VB, objetivos comunes para los cibercriminales debido a la amplia gama de vulnerabilidades encontradas en éstos, luego descarga el troyano Kovter, que en realidad es un ransomware que bloquea la pantalla del equipo infectado y evita el acceso del usuario.

"El propósito de este ataque es instalar un binario malicioso, una nueva variante de un troyano de la familia Kovter", dicen los investigadores. "El malware ha sido descargado de indus.qgettingrinchwithebooks.babia-gora.pl:8080, era un binario sin cifrar. Después de la ejecución, se conecta al a16-kite.pw para comando y control. Se ejecuta a través de la inyección de su carga útil al proceso svchost".

Los sitios web que alojan el paquete de exploits eran dominios ".pl", el dominio de primer nivel para Polonia. Los investigadores también notaron que una variedad de otros sitios web, incluyendo weatherbug.com, mandatory.com y houstonpress.com, también estaban distribuyendo el malware a través de anuncios maliciosos, todos tenían en común a las redes de publicidad "adtech.de" y "advertising.com", ambas plataformas propiedad de AOL.

AOL.com fue notificada del problema el sábado. Un portavoz confirmó los hallazgos de Cyphort y dijo que la compañía tomó las medidas necesarias para solucionar el problema. AOL.com dijo que ha detenido la distribución de software malicioso almacenado en sus plataformas de publicidad después de ser alertados por una empresa de seguridad.

"AOL se compromete a ofrecer nuevos niveles de transparencia en el proceso de publicidad, asegurando que los anuncios mantengan los estándares de calidad y creen experiencias de consumo positivas", escribió el portavoz.