Investigadores de Malwarebytes han observado una nueva variante de Tinba, un malware bancario siendo distribuido mediante el Kit de Exploits HanJuan, como parte de un ataque de publicidad maliciosa que involucra al servicio de acortamiento de URL Adf.ly.

Jerome Segura, investigador senior de seguridad de la información en Malwarebytes, comentó el martes en una conversación mediante correo electrónico con SCMagazine.com que la mayoría de infecciones se han detectado en los Países Bajos, pero agregó que la campaña continúa en sus primeras etapas y podría expandirse.

La amenaza fue posible debido a que los atacantes pudieron enviar satisfactoriamente un anuncio malicioso a Adf.ly que ha sido mostrado de manera aleatoria a usuarios que dan clic en enlaces acortados mediante Adf.ly mientras están conectados a Internet.

"Adf.ly monetiza su servicio al mostrar anuncios cuando los usuarios hacen clic en el enlace acortado", dijo Segura. "Después de que la redirección a la URL actual, un anuncio es mostrado por unos cuantos segundos. Aquí es donde entra en juego la publicidad maliciosa".

Una vez que se despliega el anuncio malicioso, se activa una redirección sin interacción del usuario, explicó Segura. De acuerdo con un publicación del miércoles, las peticiones son redirigidas a un sitio Joomla comprometido que empuja a los usuarios a lo que se cree es el Kit de Exploits HanJuan.

Los investigadores observaron que el Kit de Explotación HanJuan apuntaba a dos vulnerabilidades para poder enviar la variante de Tinba, una vulnerabilidad en Adobe Flash Player, CVE-2015-0359, y una vulnerabilidad en Internet Explorer, CVE-2014-1776, comentan en la publicación.

después de observar el comportamiento de la variante de Tinba, que en un principio fue identificada por Malwarebytes como 'Fobber', se determinó que iba tras información confidencial, incluyendo credenciales de los servicios que proporciona Google, Facebook, Twitter y Microsoft, enganchando navegadores e interceptando nombres y contraseñas de los usuarios antes de ser cifrados para su envío. Según menciona la publicación, el malware no fue visto robando credenciales bancarias.

"Esta es una versión evolucionada de Tinba V2, que fue identificada por investigadores de seguridad de Fox-IT", mencionó Segura. "Mientras que el núcleo del programa es más o menos el mismo, los autores de esta pieza de malware bancario han mejorado sus capacidades criptográficas, haciendo más difícil la tarea de los investigadores de seguridad en la identificación y eliminación."

Para hacer frente a este tipo de amenazas, Segura dijo que las redes de publicidad deben asegurarse de entregar contenido limpio, por su parte, los usuarios finales deben asegurar que sus equipos de cómputo contienen las últimas actualizaciones de seguridad y se encuentran protegidos por una adecuada solución.