Ciberdelincuentes instalaron campaña de malware en el buscador chino Baidu

Esta campaña de publicidad maliciosa que involucra a la API de Baidu fue diseñada de forma que su fuente de origen resultaba difícil rastrear.

FireEye, Inc. (NASDAQ: FEYE), proveedor especializado en la detención de los ciberataques avanzados actuales, dio a conocer el descubrimiento de una campaña de publicidad maliciosa muy bien elaborada que usaba el anuncio de una API de uno de los más grandes motores de búsqueda: Baidu, con base en China. Para el efecto, los atacantes emplearon un simple rediccionador en HTML, en lugar de un más usual código Shell o un exploit, en una página web con aspecto aparentemente benigno. De esta forma se activaba un bucle de redireccionamiento que buscaba el contenido malicioso en espacios publicitarios comprometidos con lo que empezaba a introducir malwares en cadena dentro de una computadora. Esta campaña de publicidad maliciosa que involucra a la API de Baidu fue diseñada de forma que su fuente de origen resultaba difícil rastrear.

De acuerdo con Safwan Khan, Senior Malware Researcher de FireEye, la campaña fue detectada por primera vez a mediados de octubre de 2015, y se han detectado incidencias  activas desde febrero de ese año.

Después de haber identificado el ataque, FireEye contribuyó al diseño de estrategias de defensa en donde primero se identificaba el código maligno  y luego se elaboraban sistemas de protección que contribuyeron a proteger a la empresa y a sus usuarios.

De acuerdo con Khan, los representantes de FireEye contactaron a los directivos de Baidu para abordar el problema en forma responsable. Baidu contribuyó totalmente y actuó contra el agente invasor removiendo todos los contenidos malignos. También hicieron cambios inmediatos a las regulaciones de su plataforma de anuncios de manera que ciertos comportamientos dinámicos relacionados con la carga o descarga de archivos ejecutables de dominios sospechosos dejaron de permitirse.

Aunque se suspendió el ataque de la campaña maliciosa debido a que los principales espacios publicitarios se retiraron,  los atacantes instalaron copias de seguridad de los espacios publicitarios.  FireEye detectó ese cambio y avisó a Baidú, que tomó cartas en el asunto, y a partir de entonces la campaña ya no está activa, ya que a partir de entonces  la empresa china llevó a cabo una operación masiva de investigación y limpieza en sus espacios y plataformas de publicidad.

Baidu ha mejorado su mecanismo de detección para detectar contenido malicioso alojado en su plataforma de anuncios,  comenta FireEye,  agregando que todo el contenido cargado también es totalmente explorado.


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022