Los atacantes inyectaron código malicioso en Dailymotion.com, un popular sitio web para compartir vídeos, y redirigieron a los visitantes a explotaciones de vulnerabilidades basadas en web que instalan malware.
El código parásito consistió en un iframe que apareció en Dailymotion el 28 de junio, los investigadores de la empresa de seguridad Symantec, dijeron el jueves en un blog. El iframe redirige a los navegadores a un sitio web diferente en la que se hospeda una instalación del Sweet Orange Exploit Kit, una herramienta de ataque que utiliza exploits para Java, Internet Explorer y Flash Player.Los fallos que Sweet Orange intentó explotar son: CVE-2013-2551, parchado por Microsoft en Internet Explorer en mayo del 2013; CVE-2013-2460, remendado por Oracle en Java, en junio del 2013; y CVE-2014-0515, arreglada por Adobe en Flash Player en abril.
Los fallos que Sweet Orange intentó explotar son: CVE-2013-2551, parchado por Microsoft en Internet Explorer en mayo del 2013; CVE-2013-2460, remendado por Oracle en Java, en junio del 2013; y CVE-2014-0515, arreglada por Adobe en Flash Player en abril.
«Si el kit lograra aprovechar cualquiera de estas vulnerabilidades, entonces el Trojan.Adclicker seria descargado en la computadora de la víctima», dijeron los investigadores de Symantec. «Este malware hace que el equipo afectado genere artificialmente tráfico de publicidad web de pago por clic con el fin de generar ingresos para los atacantes.»
No está claro cuánto tiempo duró el ataque, pero el código ya no estuvo presente en Dailymotion.com partir de esta semana, de acuerdo con los investigadores de Symantec. Tampoco está claro si el ataque fue el resultado de la propia página web al ser hackeado o de un anuncio malicioso servido a través de una red de anuncios de terceros, un método común para la inserción de código malicioso en sitios web populares.
Dailymotion no respondió de inmediato a una petición de comentarios.
El sitio web de intercambio de videos ocupa el lugar 90 en la lista de 100 sitios web más populares por el tráfico de acuerdo a la firma de estadísticas de Internet Alexa propiedad de Amazon. Según datos de Symantec indican que la mayoría de los visitantes a Dailymotion afectados por este ataque eran de E.U. -más del 50 por ciento- y de Europa.
Esta no es la primera vez que Dailymotion.com ha sido utilizado para distribuir malware. En enero, la empresa de seguridad Invincea informó que un anuncio malicioso aparecido en el sitio trató de engañar a los usuarios para que instalaran un falso programa antivirus.