Una campaña de publicidad maliciosa recientemente descubierta está alojando el kit de explotación Fallout en sitios web controlados por atacantes con nombres de dominio que implican falsamente que proporcionan información útil sobre el nuevo coronavirus.
El objetivo final es infectar a las víctimas con KPOT v2.0, un ladrón de información y contraseñas, según una nueva publicación de blog del equipo de Avast Threat Intelligence, cuyos investigadores descubrieron la operación.
La campaña se ha estado ejecutando desde al menos el 26 de marzo, cuando los actores maliciosos registraron el dominio covid19onlineinfo [.] Com, en un intento por engañar a las redes publicitarias para que permitan a los atacantes comprar espacios publicitarios digitales. Desde entonces, los adversarios han registrado aproximadamente seis dominios nuevos por día, cambiando entre ellos en un intento continuo de evadir las protecciones antivirus, según el informe de la publicación del blog.
Las malversiones suelen aparecer en sitios web de transmisión. Cuando los visitantes hacen clic en un botón para reproducir un video, los anuncios malignos abren una nueva pestaña que se abre en el dominio que aloja Fallout. A continuación, el kit de exploits intenta abusar de las vulnerabilidades que afectan a versiones desactualizadas de Internet Explorer para instalar KPOT sin el conocimiento de la víctima.
“Intenta explotar una vulnerabilidad en Adobe Flash Player (CVE-2018-15982, revisión publicada en enero de 2019), que puede conducir a la ejecución de código arbitrario, y una vulnerabilidad de ejecución remota en el motor VBScript que afecta a múltiples versiones de Windows (CVE-2018- 8174, revisión publicada en mayo de 2018). Esto puede hacer que Internet Explorer se bloquee, que es la única bandera roja que el usuario puede notar ”, afirma el informe de Avast.
KPOT puede robar y filtrar información, incluidos nombres de computadora, nombres de usuario de Windows, direcciones IP, software instalado y GUID de máquinas, así como cookies de cuentas, varias contraseñas de cuenta y datos de autocompletar.
Para reducir el riesgo de ser víctima de esta amenaza, Avast recomienda que los usuarios instalen un software antivirus; mantenga actualizados los sistemas operativos, el software y los navegadores y desactive Flash cuando sea posible, entre otras acciones.
