Ao longo da investigação, a Symantec registrou quase 150 mil ataques por dia do mesmo invasor, que enviou o conteúdo mal-intencionado por meio de dois domínios. Em abril de 2015, os ataques vieram do domínio sepabi.com. Ao começar a gerar suspeitas, o invasor registrou um novo domínio: abespi.com (um anagrama de sepabi.com), quando os ataques disparados pelo domínio mais antigo foram interrompidos, o que demonstrou um forte vínculo entre os dois domínios. É interessante notar que o domínio abespi.com foi registrado para Jake Muller (provavelmente uma referência a um personagem do popular jogo Resident Evil) e inclui um endereço de caixa postal da Califórnia. O outro domínio, usado no início do ano, foi registrado em Chipre, mas não fazia referências à jogos em que os personagens enfrentam zumbis.
A Symantec detecta esses ataques com as assinaturas de IPS Web Attack: Malvertisement Website Redirect 9 e Web Attack: Exploit Toolkit Variant 10, disponíveis no Norton Security, no Symantec Endpoint Protection e em outros produtos de segurança da Symantec.
Proteção
A melhor maneira de se proteger contra esses ataques é manter o navegador e as versões do Flash atualizadas, além de usar uma solução sólida de proteção contra malware, como o Norton Security. Também é preciso que provedores de segurança, editores on-line e outros agentes da indústria de tecnologia trabalhem mais em conjunto, para compartilhar informações sobre esses ataques, quando ocorrerem.
A Symantec começou a contatar os portais afetados por esse ataque, mas, devido ao grande número de ataques, a empresa recomenda aos sites brasileiros que tomem medidas para erradicar esses anunciantes fraudadores de sua cadeia de clientes, e também criem uma lista negra desses sites maliciosos.
Para mais informações sobre esse golpe, acesse o Blog Post da Symantec ou agende uma entrevista com um dos especialistas da empresa.
