Falsos botones sociales en webs distribuyen el kit Angler Exploit

Se han encontrado muestras de falsos botones sociales (incluídos en diferentes plugins) utilizados por los hackers para comprometer sitios web y crear redirecciones de tráfico hacia servidores que emplean el kit Angler Exploit.

Uno de los investigadores de Malwarebytes, Jerome Segura, lleva tiempo especializándose en tratar con todo tipo de campañas de malvertising e ingeniería social, pero siempre hay espacio para algo nuevo.

En el caso de hoy, como explican en el blog de la empresa, se ha identificado una curiosidad referente a la forma de infección mediante el Angler Exploit kit. No se trata de la clásica redirección desde una web comprometida, que ejecuta versiones antiguas de WordPress o Joomla. Tampoco es una landing page con una inyección de código malicioso dentro del código de la misma.

Peligro de exploit en los botones sociales

En su lugar, este método utiliza un nombre de dominio para engañar a los dueños de sitios web y hacer que piensen que esta es parte de sus plugins sociales o de sus widgets, presentando algo como «socialbutton[.]site«. Esta es la clase de botones que permiten a los usuarios compartir o «retwittear» un artículo desde la propia web visitada.

El proceso de infección se describe de la siguiente forma: un actor malicioso compromete un sitio web. En lugar de inyectar una URL del kit de exploit Angler en el código del sitio web, la inyección la realiza sobre una llamada a JavaScript, a lo largo de las líneas en http://social-button[.]site/analytics.js.

A primera vista, un webmaster podría pensar que está viendo el archivo JavaScript correspondiente al plugin Social. Los usuarios que accedan directamente al archivo ni siquiera ejecutarán el contenido malicioso, sino que el código presentado será limpio.

Es cuando alguien visita la web comprometida cuando el código del kit Angler se activa, llevando al visitante desde una parada intermedia a la siguiente estación: una landing page servida con el mencionado kit de exploit.

Evitar los exploits de Angler

En la versión que hoy nos ocupa, Angler despliega el malware Bedep, una muestra que posee la facultad de descargar otras formas adicionales de malware (un dropper). Es decir, podría ser una puerta de entrada a formas de ransomware recientes, como CryptXXX.

Este es un método un tanto diferente de aprovechar el kit de exploit Angler, pero hay algo que sigue funcionando igual: los ciberdelincuentes siguen buscando webs sin actualizaciones correctas para engañar a usuarios confiados. Como dueños de un sitio web, os toca actualizar vuestros CMS periódicamente, además de instalar los parches que requiera el servidor para garantizar que la seguridad esté intacta.