La infección masiva AdMedia / Adverting iFrame

La infección masiva AdMedia / Adverting iFrame
Este fin de semana pasado se han registrado un aumento en las infecciones de WordPress donde los hackers inyectan código cifrado al final de todos los archivos .js legítimos .

AdMedia código encriptado (versión abreviada).

Las características distintivas de este malware son:

1 - 32 dígitos hex comenta al principio y al final del código malicioso. Por ejemplo,  / * e8def60c62ec31519121bfdb43fa078f * / Este comentario es único en cada sitio infectado. Lo más probable es un hash MD5 basado en el nombre de dominio.
2 - El primer comentario es seguida inmediatamente por  ;. Ventana [ "\ x64 \ x6f ... y una larga serie de constantes de cadena en su representación hexadecimal.
3 - Siempre termina con " .join (\" \ ");")); "

La parte muta cifrados de un sitio a otro, pero una vez descifrados siempre se ve así:

guión AdMedia decodificada

Este malware sólo infecta visitantes por primera vez, se establece el ad-galleta de la galleta ( er2vdr5gdc3ds ) que expira en 24 horas y se inyecta un iframe invisible.

URL de Iframe - AdMedia / Adverting


La dirección URL del iFrame es la única parte cambiante del código.
hxxp:// template .poln1uewt1aniwki[.]ws/ admedia /?id=8695834&keyword=85c86e3646fb1b15c0bc0647c257c029&ad_id= Twiue123
hxxp:// js .polnue2wtani2wki[.]ws/ admedia /?id=8695834&keyword=396f3d9d490aed315d71b60ec1efda53&ad_id= Twiue123
hxxp:// get .malenkiuniger[.]net/ admedia /?id=8695834&keyword=8580b2135c1fdc0c650156eb174b4985&ad_id= Twiue123
hxxp:// track .findyourwaytotr[.]net/ admedia /?id=8695834&keyword=46731f99a65ceac12e0632d08e551ca5&ad_id= Twiue123
hxxp:// img .oduvanchiksawa[.]biz/ adverting /?id=5345896&keyword=fd2f2243cd2046d674aeec495cd2e74b&uyijo= 86tyh978
Es fácil de detectar un patrón en estas URL:

dominios de tercer nivel
AdMedia  o publicidad en la parte de la ruta de las URLs (por lo que llamaron a este malware " inyección iframe AdMedia ")
La misma estructura de parámetro URL, incluyendo ad_id que es siempre la misma - Twiue123 .

Los dominios maliciosos

 
El uso de los dominios de tercer nivel es típico de "sombra de dominio." Esto implica añadir subdominios maliciosos en los dominios legítimos de segundo nivel después de ganar acceso a los registros DNS. En este caso nos ocupamos de un dominio registrado específicamente para este ataque.

Registros de WHOIS muestran que todos ellos habían sido registrados por " Vasunya " en  valera.valera-146 @ yandex.ru   dentro de los últimos dos meses:
ws poln1uewt1aniwki [.] - creado el 22 dic, el año 2015
neta findyourwaytotr [.] - creado el 8 ene, el año 2016
[.] oduvanchiksawa biz - creado el 1 feb, el año 2016
neta malenkiuniger [.] - creado el 1 feb, el año 2016
El último de ellos fue creado 1 ª feb,   probablemente para evitar las listas negras de los otros dominios. No obstante, Google ya tiene una lista negra y la manera de investigar sobre algún dominio en particular: ....google.com/transparencyreport/...

Océano digital


Vale la pena mencionar que todos los dominios y subdominios maliciosos apuntan a los servidores a la red del Océano Digital: 
46.101.84.214 ,  178.62.37.217 ,  178.62.37.131, 178.62.90.65
No es común ver el malware alojado allí, así que no es una sorpresa ver Google lista única dominios relacionados con este ataque como ejemplos de sitio peligrosa conocida en la  (digitalocean-ASN-2) AS202109 red.

Versión anterior del malware


En la siguiente imagen se puede ver el  [.] Ws gabosik12345  dominio que no he mencionado anteriormente. Este dominio ha sido registrado por el mismo "Vasunya" el 23 de diciembre de 2015. Fue utilizado en la encarnación previa de este ataque, junto con algunos otros dominios registrados el pasado otoño:  [.] Trymyfinger página web ,  goroda235 pw [.] ,  Suchka46 [. ] pw , etc.
SafeBrowsing informe para AS202109 (digitalocean-ASN-2)

Todavía detectamos bastantes sitios infectados con el malware variación de la última caída:
SiteCheck avisos de malware en un archivo .js

También inyecta código jаvascript similar en la parte inferior de Js archivos y también se utiliza la  publicidad en cookies = "er2vdr5gdc3ds" galleta, pero las URL de marco flotante eran ligeramente diferentes, por ejemplo  hxxp: // [.] Static.suchka46 pw ? / Id = 6947627 y palabra clave = 557.334 y = ad_id Xn5be4 .

Las re-infecciones constantes


Este malware cargue múltiples puertas traseras en varios lugares en el servidor web y con frecuencia actualiza el código inyectado. Es por esto que muchos webmasters están experimentando constantes reinfecciones posteriores a la limpieza de sus  .js archivos.

El malware intenta infectar todos los archivos .js accesibles. Esto significa que si aloja varios dominios en la misma cuenta de hosting todos ellos estarán infectados a través de un concepto conocido como la contaminación cruzada in situ. No es suficiente para limpiar un solo sitio (por ejemplo, el que se preocupa) o todos menos uno (por ejemplo, que no se preocupan por un sitio de prueba o de copia de seguridad) en este tipo de situaciones - un sitio abandonado será la fuente de la reinfección . En otras palabras, ya sea que usted necesita para aislar todos los sitios o limpiar / actualizar / proteger a todos ellos al mismo tiempo!.


<a onclick=omegayalfa" class='avatar avatar-64 photo' height='64' width='64'>
  • Autor:
  • Editor:
      Tutoriales En Linea
  • Fecha:2016-02-04
  • Categorias: WordPress Seguridad malware hacker Noticias



Información
Usuarios que no esten registrados no pueden dejar comentarios, te invitamos a que te registre!