Los atacantes han usado anuncios maliciosos sobre PornHub para redirigir a los usuarios hacia sitios falsos que anunciaba una actualización urgente del navegador web o Flash. Para que todo fuera más convincente, el mensaje variaba si se usaba Google Chrome, Mozilla Firefox, Internet Explorer o Microsoft Edge. En el caso de los dos primeros se notificada a los usuarios sobre una actualización de la aplicación, mientras que para los dos últimos se avisaba de una nueva versión de Flash, debido a que esos navegadores son puestos al día a través de Windows Update.
Una vez descargado el fichero que se hace pasar por un navegador o un plugin, lo que realmente hace el usuario es descargar ficheros en JavaScript en los casos de Chrome y Firefox o una Aplicación en HTML (HTA) si la acción se realiza desde Internet Explorer o Microsoft Edge. Ambos software se encargan de instalar Kovter, un descargador de malware multipropósito capaz de suministrar software fraudulento, ransomware, programas para robar información, etc.
Los investigadores de Proofpoint, que han sido los descubridores del grupo KovCoreG y de la campaña de malvertising, han avisado que los hackers han abusado tanto de Pornhub como de Traffic Junky para llevar a cabo su campaña. La reacción de ambas empresas no se ha hecho esperar y ahora la campaña de publicidad maliciosa ha sido trasladada a los sitios web de Yahoo.
La campaña tiene como objetivo principal al público anglosajón, ya que se ha centrado en Estados Unidos, Canadá, Reino Unido y Australia. KovCoreG ha utilizado filtros que han separado por países y proveedores de servicios de Internet, y aquí hay un aspecto que ha dejado muy sorprendidos a los investigadores en seguridad, ya que los ficheros descargados no se ejecutarán si la IP pública empleada por el PC de la víctima no cumple los requisitos de geolocalización e ISP.
Fuente: BleepingComputer | muyseguridad
