Los investigadores dicen que el kit de explotación Neptune o Terror ha estado propagando mineros de criptomonedas Monero a través de anuncios maliciosos.A pesar de una marcada disminución en la actividad, los kits de explotación aún no han desaparecido por completo.Neptune, o Terror Exploit Kit, está vivo y coleando;durante el último mes, los investigadores observaron el kit como parte de una campaña para abusar de un servicio legítimo de anuncios emergentes para eliminar a los mineros de criptomonedas.Los investigadores de FireEye dijeron el martes que el kit ha estado redirigiendo a las víctimas con ventanas emergentes de anuncios falsos de senderismo para explotar las páginas de destino del kit y, a su vez, a las vulnerabilidades de HTML y Adobe Flash.Los investigadores optaron por no revelar el nombre del servicio de anuncios emergentes, pero enfatizaron que se encuentra entre los 100 principales de Alexa.Las páginas de destino ejecutan un puñado de vulnerabilidades, incluidas tres dirigidas a Internet Explorer (CVE-2016-0189, CVE-2015-2419, CVE-2014-6332) y dos dirigidas a Flash (CVE-2015-8651, CVE-2015-7645) .Según los investigadores de FireEye, Zain Gardezi y Manish Sardiwal, los redireccionamientos de publicidad maliciosa imitan los dominios de sitios de senderismo reales y, en algunos casos, sitios que permiten a los usuarios convertir videos de YouTube a MP3.Una vez redirigidos, los anuncios, la mayoría de los cuales aparecen en sitios de alojamiento de torrents y multimedia de alto tráfico, sueltan un minero de Monero.Monero, una criptomoneda de código abierto que se anuncia a sí misma como "segura, privada e imposible de rastrear", se ha puesto al día con los ciberdelincuentes en los últimos meses.Un minero de criptomonedas, Adylkuzz, fue descubierto en abril usando el mismo exploit NSA Eternal Blue y el rootkit DoublePulsar que difundió WannaCry, para infectar computadoras y minar Monero.Según FireEye, para la nueva campaña de Neptune EK, un identificador uniforme de recursos (URI) que pertenece al dominio del kit de explotación ha dejado caer la carga útil como un simple ejecutable.Después de que una máquina ha sido infectada, se intenta iniciar sesión en minergate[.]com, un minero de GUI de criptomonedas y un grupo de minería, con la dirección de correo electrónico del atacante.Los investigadores notaron esta campaña el 16 de julio y pudieron atribuirla a los cambios en los patrones URI del kit.La difusión de mineros de criptomonedas con uso intensivo de recursos ayuda a los atacantes a recaudar pequeñas cantidades de dinero que potencialmente pueden usarse para financiar otros ataques futuros.En junio, los atacantes utilizaron un exploit para una vulnerabilidad de Samba parcheada en mayo para propagar cargas útiles que propagaban a los mineros de Monero.Los investigadores de Kaspersky Lab que descubrieron la operación dijeron que los atacantes codificaron su billetera y la dirección del grupo en el ataque y lograron recaudar $ 6,000 USD a través de la campaña.Las vulnerabilidades que utiliza Neptune están fechadas;de hecho, Microsoft arregló uno de ellos en noviembre de 2014, CVE-2014-6332, que podría haber permitido la ejecución remota de código a través de vulnerabilidades OLE de Windows.Gardezi y Sardiwal advierten que los usuarios que ejecutan software desactualizado o sin parches aún podrían estar en riesgo, especialmente porque los kits de descargas no autorizadas como Neptune han comenzado a usar anuncios maliciosos para impulsar descargas maliciosas en los últimos tiempos.Al igual que Sundown, el kit de exploits Neptune/Terror es uno de varios que surgieron tras la desaparición de Angler en 2016. Los investigadores dijeron en mayo de este año que el kit había adoptado nuevas funciones anti-detección y se había convertido lentamente en una amenaza.Al menos 6.500 usuarios de criptomonedas han sido infectados por un nuevo malware "extremadamente intrusivo" que se propaga a través de aplicaciones troyanizadas de macOS, Windows y Linux.El gusano regresó en ataques recientes contra aplicaciones web, cámaras IP y enrutadores.El malware modificador de navegador de inyección de anuncios Adrozek también extrae datos del dispositivo y roba credenciales, lo que lo convierte en una amenaza aún más peligrosa.Decenas de miles de cámaras no han podido parchear un CVE crítico de 11 meses, dejando a miles de organizaciones... https://t.co/iYq3WeTkbfLa primera parada para noticias de seguridadEl contenido de Infosec Insider está escrito por una comunidad confiable de expertos en la materia de seguridad cibernética de Threatpost.Cada contribución tiene el objetivo de traer una voz única a temas importantes de ciberseguridad.El contenido se esfuerza por ser de la más alta calidad, objetivo y no comercial.El contenido patrocinado lo paga un anunciante.El contenido patrocinado está escrito y editado por miembros de nuestra comunidad de patrocinadores.Este contenido crea una oportunidad para que un patrocinador brinde información y comentarios desde su punto de vista directamente a la audiencia de Threatpost.El equipo editorial de Threatpost no participa en la redacción o edición del Contenido patrocinado.