Hasta 12,500 usuarios al día pudieron haber sido afectados por una campaña que comprometió a MadAdsMedia, una red de publicidad en la web con sede en EE.UU.

Los visitantes de los sitios que utilizan dicha plataforma de publicidad fueron llevados a los exploits de Adobe Flash liberados por el kit de exploits Nuclear. Tres países concentran más de la mitad de los ataques: Japón, Estados Unidos y Australia.

Según Trend Micro, el ataque fue visto por primera vez en abril aunque en niveles de tráfico relativamente bajos. El número de usuarios en situación de riesgo creció significativamente en mayo con un pico de 12,500 usuarios afectados diariamente (alcanzado el 2 de mayo), se incluye un número significativo de sitios con temática de anime y manga.

El payload (carga útil) final de la cadena de infección fue Carberp, el troyano bancario. Estas variantes de malware son conocidas por robar información.

"Al principio pensamos que se trataba de otro caso de publicidad maliciosa, pero más tarde se encontró evidencia de que era de otra manera," los investigadores explican en un blog. "Los ataques de malvertising normales implican una redirección lanzada desde el payload del anuncio registrado por el atacante. Esto no era evidente en el caso MadAdsMedia. Lo que vimos fue una anomalía en la URL de su biblioteca JavaScript-originalmente destinada para que el anuncio se mostrará en el sitio del cliente".

Pero la URL no siempre proporciona código JavaScript, en su lugar, algunas veces redirige al servidor con el kit de explotación Nuclear. Esto indica que el servidor utilizado por la red de publicidad para guardar la biblioteca de JavaScript fue comprometido redirigiendo a los visitantes del sitio web al kit.

Los exploits de Flash en uso están utilizando el fallo CVE-2015-0359, una vulnerabilidad de Flash que fue parcheada en abril de este año.

"Ataques como estos ponen a luz la importancia de mantener una infraestructura segura ante los ataques", señaló Trend Micro. "Asegurarse de que los servidores web y las aplicaciones son seguras ayudará a reforzar la protección de la empresa y sus clientes. A los usuarios finales, por otro lado, se les aconseja mantener los plugins web más populares actualizados. Los usuarios con las últimas versiones de Adobe Flash no han estado en riesgo."

En cuanto a MadAdsMedia, emitieron la siguiente declaración:

"Hemos puesto en marcha una investigación poco después de darnos cuenta de las actividades sospechosas en nuestra red. Fuimos contactados por Trend Micro; los detalles de su investigación jugaron un papel crucial en nuestros esfuerzos por eliminar esta amenaza. Proporcionamos información de Trend Micro a nuestra empresa de alojamiento, GigeNET.com y rápidamente tomamos acción. En cuestión de horas GigeNET identificó la brecha y al mismo tiempo aseguró la red. Agradecemos tanto a Trend Micro como a GigeNET por sus esfuerzos en la protección de nuestros usuarios ".