La web de EliteTorrent, una de las afectadas

A lo largo de la última semana, algunos de los sitios de torrents más populares en España han estado distribuyendo ransomware, a través de una campaña de publicidad maliciosa, a los usuarios que han accedido a estas webs.

Entre las webs de torrents que han estado infectando con malware a sus usuarios se encuentran algunas de las más utilizadas por los internautas españoles como Divxtotal con 24,5 millones de usuarios mensuales, EliteTorrent con 24 millones y Mejor Torrent con 23,9. Otras páginas conocidas como EstrenosDTL, Bajui y Tomadivx también han estado distribuyendo ransomware entre sus usuarios.

Tal como explica el blog de Malwarebytes, la razón por la que este ataque ha durando tanto tiempo tiene que ver con que Publited, la red publicitaria que distribuía los anuncios maliciosos mediante redirecciones con iframes se había visto comprometida, dando acceso y el control total a los ciberdelincuentes, que podían acceder al servidor mediante algún tipo de puerta trasera o shell remoto.

CryptoWall distribuido a través de malvertising

De ahí que los atacantes, una vez tomado el control del servidor de publicidad, podían inyectar contenido dentro de la publicidad. Y en este caso lo que distribuían era el archiconocido ransomware CryptoWall que secuestra los archivos de la víctima hasta que éste paga un rescate. Obviamente, no todos los usuarios que han accedido a las citadas webs han sido infectados, sino que la campaña de malvertising sólo se ha dirigido a ciertos tipos de usuario y a ciertas horas del día.

Si no habíais tenido bastante con el tema de los neutrinos esta semana, el exploit kit utilizado para aprovechar la vulnerabilidad en este caso es el ya famoso Neutrino EK, ya usado hace algunas semanas para poner en jaque a miles de páginas WordPress. Así ha sido por lo menos durante la primera fase del ataque, aunque también se ha detectado el uso de Angler EK, uno de los exploit kits más prolíficos de los últimos tiempos.

Malwarebytes ya está trabajando junto a Publited para solventar el problema lo antes posible y que los usuarios de estas webs de torrents puedan seguir usándolas sin temor a ser infectados. La publicidad de estos sitios ya de por sí es bastante intrusiva, pero ahora con esta noticia su naturaleza invasiva casi parece lo de menos.

[Actualización: 14.00 del 07/10/2015] Desde Publited se han puesto en contacto con nosotros para informarnos de que el problema lleva solucionado desde el lunes y que, en palabras textuales de la red de publicidad “sólo fue una propagación aleatoria en USA por lo que el resto de usuarios no se vieron afectados en ningún momento”. Tal y como informamos en el párrafo anterior, Publited y Malwarebytes aunaron fuerzas para solventar el problema lo antes posible. 

Relacionados

Opiniones de los usuarios

Nos encanta escucharte ¿Nos dejas tu opinión?