2016/03/17

Sites de notícias levaram ransomware a milhões de leitores


Visitarem apenas sites com boa reputação já não é suficiente para evitarem os potenciais riscos de ficarem com o computador infectado com malware. Nos últimos dias, grandes sites de notícias, como o NY Times, BBC, MSN e AOL, estiveram a espalhar ransomware pelos seus visitantes.

Quem visita sites de conteúdos pirata já sabe que está sujeito a um bombardeamento constante com publicidade enganosa e programas potencialmente infectados. Desta vez o caso foi diferente, pois a distribuição do muito desagradável ransomware - que encripta os ficheiros dos utilizadores e de seguida pede um resgate para os desbloquear - foi feito por sites credíveis e que inspirariam confiança.

Não é segredo que, para os atacantes que desejam espelhar malware, o grande objectivo é chegar ao maior número de pessoas e vítimas em potencial. Com sites como os referidos a terem várias centenas de milhões de visitas por mês (mais de mil milhões no caso do MSN), são obviamente um alvo bastante apetecido - mas não é fácil conseguirem infiltrar-se nestes site, pelo que a táctica passou por usar uma entrada alternativa: as redes de anúncios.

Os atacantes terão conseguido apoderar-se de um domínio que expirou e que seria considerado legítimo, e criaram uma campanha publicitária que na verdade consistia num vector de ataque que poderia infectar os utilizadores com ransomware usando algumas vulnerabilidades conhecidas que permitiriam uma infecção quase directa em máquinas com browsers e software desactualizados. Essa publicidade maliciosa foi assim automaticamente divulgada em dezenas/centenas de sites, onde a mesma era considerada apenas mais um bloco publicitário igual a qualquer outro.


Já sabemos que por muito que se melhorem os sistemas de segurança, todo e qualquer sistema é apenas tão seguro quanto o seu elo mais fraco, pois será esse em que os atacantes centrarão os seus esforços. As redes de publicidade são um desses alvos, e é bem provável que este tipo de ataque se torne ainda mais frequente no futuro (este não foi o primeiro, nem será o último). Para os fãs dos ad-blockers, ganham mais um ponto que justifica a sua opção. :)

5 comentários:

  1. Só não consigo perceber como é que os ads conseguiram instalar o ransomware.
    Não é necessario o utilizador aceitar a instalação de um programa? Não é por aceder a um website que o software é instalado.
    Já li a notícia, mas não falava nada disso...

    ResponderEliminar
    Respostas
    1. Por norma recorrem a diversas vulnerabilidades, e sim - nalguns casos basta mesmo visitar uma página para se poder ficar infectado (no caso de se estar a usar um browser desactualizado ou versões vulneráveis do flash, por exemplo). Neste caso também era usada uma vulnerabilidade no Silverlight, que foi corrigida na última versão mas que poderá ainda ser usada por milhões de pessoas.

      Eliminar
  2. A piada é que ainda à pouco tempo andavam a chorar por usarmos adblockers. É para isto que criticam os adblocker? para logo a seguir permitirem qualquer tipo de publicidade que renda uns cêntimos mesmo que coloque os utilizadores em risco?

    Não obrigado, mantenho o uBlock Origin e outros.

    ResponderEliminar
  3. Melhor solução actualmente para evitar o ransomware: Sandboxie! Experimentem... ;)

    ResponderEliminar
    Respostas
    1. Nós sabemos... ;)
      http://abertoatedemadrugada.com/2014/07/sandboxie-corre-programas-isolados-do.html

      Eliminar