El grupo de atacantes que está detrás de la campaña, cuyo nombre es AdGholas, suspendió sus actividades la pasada semana, y por lo que se sabe, hay evidencias de que ya estaba activo en 2013. Estos son los datos ofrecidos por Proofpoint, que ha realizado un seguimiento de este grupo desde octubre de 2015. Los investigadores dicen que los atacantes han ocultado filtros de JavaScript que eran usados para hacer llamadas a una API que extraía más código JavaScript de imágenes PNG. Los usuarios tenían que infectarse visitando un sitio web, para luego ser desviados a una versión clonada del mismo que contenía el malware.

AdGholas estuvo inactivo durante dos semanas debido que Angler Exploit Kit fue desactivado, aunque volvió a la acción a finales de junio esparciendo el kit de exploit Neutrino. Entre el 10 y el 20 por ciento de los millones de usuarios afectados por la campaña fueron redirigidos a este último kit de exploit. Proofpoint comenta que las “recientes observaciones sugieren que AdGholas o sus socios podrían haber empezado a operar con proxies inversos que involucran la instancia del kit de exploit desde finales de abril. Estas instancias se asemejan al tráfico comprimido con gzip de Angler EK, y últimamente su tráfico de Neutrino también ha sido comprimido con gzip “.

La campaña también ha soltado troyanos específicos en regiones específicas. Las computadoras situadas en Canadá fueron infectadas con el troyano Gozi ISFB, las de Australia con Terdot.A, mientras que las de España fueron infectadas con el troyano bancario Gootkit.

Proofpoint señala que las operadoras de redes de publicidad a las que se les ha notificado el problema se pusieron manos a la obra para corregir el problema, consiguiendo suspender la campaña de AdGholas el pasado 20 de julio.

Fuente: ThreadPost | muyseguridad