Hace algunos días hablábamos de una vulnerabilidad detectada en Dailymotion y que estaba siendo aprovechada por ciberdelincuentes para redirigir a los usuarios a contenido malware a través de los anuncios. En esta ocasión, un grupo de hackers chinos han utilizado la misma vulnerabilidad pero en la página de Forbes, utilizándola para instalar virus en los equipos de los usuarios.
Aunque no se conoce con exactitud la fecha exacta del comienzo, todo parece indicar que estos podrían haber abusado de la página durante al menos dos meses, afectando a un total de 2.500 usuarios. A día de hoy los responsables de la página ya son conscientes del problema y han llevado a cabo la desactivación del módulo Flash Player para actualizarlo a una versión reciente que esté libre del problema.
En un intento por confirmar que el problema no ha sido mayor, los responsables han reconocido también que los servidores no se han visto afectados y que los datos están seguros, limitándose el problema únicamente a aquellos usuarios que utilicen Flash Player e Internet Explorer como navegador web.
Hay que recordar que el fallo de seguridad al que hacemos referencia es el CVE-2014-9163 y fue parcheado el mes de diciembre, quedando demostrado una vez más que el nivel de actualización del software utilizado en las páginas es ínfimo. Hay técnicas de ataque al entrar en una web.
La página de Forbes solo servía como herramienta
Tal y como se puede observar en el gráfico anterior, los ciberdelincuentes chinos se valían de los vídeos incrustados en la página para lanzar las descargas de los ejecutables con el instalador del malware. Sin embargo y a diferencia de las infecciones realizadas utilizando Dailymotion, una vez que este se instalaba en el equipo comenzaba el proceso de replicación en todos los equipos como fuese posible, tanto a través de unidades extraíbles como utilizando la red LAN a la que se encontraba conectado. Puedes comprobar si una página tiene virus.
Aunque no es del todo seguro, parece que la operación ha sido asignada a un grupo de hackers que actúan bajo el nombre de codoso.
Fuente | Softpedia