Alcuni tra i maggiori siti del mondo per traffico, a partire dal weekend, sono stati incosapevoli untori di advertising malevolo: su msn.com , nytimes.com , bbc.com , theweathernetwork.com e altri siti rivolti soprattutto al pubblico statunitense è stata avviata una colossale campagna di malvertising nel tentativo di disseminare codice malevolo e ransomware assortiti.
La campagna, spiegano i ricercatori di Malwarebytes , è veicolata attraverso le reti di advertising di Google, AppNexus, AOL e Rubicon, che gestiscono la pubblicità sui siti colpiti e che permettono agli utenti di caricare contenuti afferenti a domini sospetti, fra cui un dominio in precedenza registrato da una società che opera nell’ambito dell’advertising, appena passato di mano.
Prima di sfruttare un iframe per trasmettere il malware, riferisce la security company TrustWave , uno script si incarica di verificare che la macchina non sia equipaggiata con le misure di sicurezza che renderebbero vano e potenzialmente tracciabile l’attacco. In un primo momento, la scorsa settimana , i domini sfruttati per l’attacco facevano leva su un exploit kit denominato RIG, in circolazione dal 2013 e impiegato soprattutto per irretire nelle botnet macchine vulnerabili. A partire dalla giornata di domenica, la campagna di malvertising è mutata per raggiungere un pubblico più vasto, e ha iniziato a sfruttare il famigerato Angler, noto per approfittare delle più diffuse falle di prodotti come Flash, Silverlight, JavaScript.
Gli utenti vulnerabili prestano così il fianco all’installazione del trojan Bedep e del ransomware TeslaCrypt: entrambi colpiscono i soli sistemi Windows.
Le security company che hanno individuato la campagna nel suo emergere hanno notificato il problema ai siti e agli ad network coinvolti loro malgrado: le operazioni per ripristinare la sicurezza sono in corso .
Gaia Bottà