El hackeo de los servicios que sirven publicidad en las páginas web comienza a ser algo bastante común, sobre todo de aquellas que poseen gran audiencia, aumentando de esta forma la posibilidad de afectar a un gran número de usuarios. En esta ocasión, los ciberdelincuentes están distribuyendo el troyano Kovter y entre las páginas afectadas podemos encontrar por ejemplo la del diario Huffington Post, cuyo servicio de publicidad propiedad de AOL se ha victo afectado.
Sin embargo, no ha sido la única que se ha visto afectada, ya que adxpansion.com y ad.directrev.com también han sufrido problemas de seguridad que han derivado en la presencia de enlaces a contenido malicioso en sus anuncios. Los ciberdelincuentes han buscado la forma para que estos conduzcan a los usuarios a Kovter, un troyano que está destinado a aumentar las ganancias de los ciberdelincuentes, aumentando el número de clicks de los usuarios en anuncios que son propiedad de estos.
Los responsables de los servicios publicitarios ya están informados del problema y poco a poco han ido eliminando los anuncios que conducían a la página propiedad de los ciberdelincuentes, aunque hay que decir que aún podemos encontrar alguno que permita el acceso a este contenido.
Esto se ha traducido en que durante esta semana el número de dominios afectados se ha visto incrementado de forma exponencial, revirtiendo de este modo la tendencia durante la semana anterior en la que el número de dominios que distribuían este malware estaba disminuyendo.
Kovter y el aumento de las ganancias publicitarias
El troyano solo afecta a los sistemas operativos Windows y se aprovecha de un «error» en el navegador Internet Explorer, permitiendo que una vez este se instale en el equipo permita controlar la navegación del usuario y el ratón dentro de este, provocando que el usuario acceda a páginas propiedad de los ciberdelincuentes y que el usuario pinche en los banners para así aumentar las ganancias de estos.
Para saber qué páginas pertenecen a estos, Kovter se encuentra conectado a dos servidores de control ubicados en Polonia, enviando y recibiendo datos utilizando conexiones cifrados, evitando de esta forma que los antivirus puedan analizar el tráfico y bloquear las conexiones del malware.
Fuente | Softpedia