Check Point alerta del uso de la publicidad online para propagar malware

Malvertising es la forma ilegal de mentir y hace referencia a la variedad de publicidad online que se utiliza para propagar malware.

0

Ahora León / EveryThink

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder especializado en ciberseguridad a nivel mundial, revela una nueva práctica de los ciberdelicuentes al utilizar la infraestructura digital de la industria de la publicidad online para propagar malware a millones de usuarios de Internet en todo el mundo. Este tipo de fraude, conocido como ‘malvertising’, afecta a miles de páginas web de WordPress, involucra a varias partes de la cadena de publicidad online y termina con la distribución de contenido malicioso a los usuarios de internet de todo el mundo.

La industria de la publicidad online tiene tres elementos: anunciantes, que desean promocionar sus productos o contenido; los editores que asignan espacio en su sitio web y lo venden a los anunciantes, y por último las redes publicitarias, que pujan por comprar espacios publicitarios y conectan anunciantes con editores. Además, también participan los ‘revendedores’. Estas compañías trabajan con las redes publicitarias para revender el tráfico que han recopilado de los editores a otros anunciantes.

El descubrimiento de esta campaña reveló una asociación inquietante entre un actor de amenazas disfrazado de Editor (apodado ‘Master134’) y varios revendedores legítimos que aprovechan esta relación para distribuir una variedad de malware, incluyendo troyanos bancarios, ransomware y bots. Para alimentar todo este proceso se utilizó la poderosa Ad-Network, AdsTerra. El análisis completo de esta operación de publicidad maliciosa tan planificada se puede encontrar en **CPR blog post**.

En resumen, la investigación reveló cómo Master134 redirigió el tráfico robado de más de 10.000 sitios de WordPress pirateados y lo vendió a AdsTerra, la plataforma de anuncios de Real Time Bidding (RTB), que luego vendió a plataformas como ExoClick, EvoLeads y AdventureFeeds. Estos revendedores pasarían el tráfico al ‘Anunciante’ de mayor oferta. Sin embargo, en lugar de ser éste una compañía legítima que vende productos reales, estos «anunciantes» buscaban distribuir ransomware, troyanos bancarios, bots y otros programas maliciosos con el tráfico de Master134.

De esta forma, los ciberdelincuentes aprovechan el legítimo sistema automatizado integral de redes publicitarias y plataformas de ofertas de revendedores en su beneficio. Lo hacen pujando junto a anunciantes legítimos, como Nike o Coca Cola, pero colocando ofertas más altas para que las redes publicitarias seleccionen sus anuncios cargados de malware para mostrarlos en miles de sitios web de editores en lugar de anuncios limpios y legítimos. 

Atracción fatal hacia el Malvertising

La publicidad maliciosa no es un fenómeno reciente. La previsión de eMarketer, respecto al gasto en el mercado mundial de medios digitales, es que alcancen los 357 mil millones de dólares en 2020. Esta tendencia alcista ha propiciado que los ciberdelincuentes hayan detectado oportunidades para manipular la relación entre anunciantes y editores.

En los últimos diez años, los anuncios que se muestran en sitios web legítimos y populares a menudo se presentan como una forma clave para que los delincuentes infecten a los usuarios más desprevenidos. En algunos casos, los anuncios contienen código malicioso que explota vulnerabilidades sin parches en navegadores o complementos del navegador, como Adobe Flash Player. Dichos anuncios tienen la capacidad de instalar ransomware, keyloggers y otros tipos de malware donde los usuarios no necesitan hacer nada más que visitar un sitio que aloja el enlace malicioso.

Los anunciantes usan plataformas de pujas en tiempo real de revendedores y redes publicitarias para hacerse con los derechos de mostrar sus anuncios a particulares, y esos anuncios incluyen código JavaScript personalizado que se ejecuta en los navegadores del usuario. El contenido exacto que ven los internautas depende de quiénes son, dónde están, qué tipos de dispositivos están ejecutando y muchas otras variables. Esto hace que resulte difícil para los editores y las redes publicitarias revisar de manera concluyente cada versión de un anuncio en busca de contenido malicioso.

Desde la perspectiva del anunciante, o en este caso ‘malvertisers’ (agentes de amenaza disfrazados de anunciantes), los usuarios pueden incluso ser segmentados en función de si tienen o no navegadores o sistemas operativos sin parchear, e incluso tipos de dispositivos específicos. Por lo tanto, si se realiza un escaneo de alto nivel para garantizar que los anuncios estén limpios, a menos que se encuentre la combinación exacta de características de un ‘malvertiser’, las redes publicitarias no detectarán la actividad maliciosa.

Siempre tenga una copia de seguridad

“Nuestra investigación plantea claramente dudas sobre los métodos adecuados de verificación de anuncios utilizados en la industria de la publicidad en línea y el papel actual de las redes publicitarias en el ecosistema de malversiting en general. De hecho, como se ve en este último análisis, parece que estas empresas son, en el mejor de los casos, manipuladas y, en el peor de los casos, cómplices en la potenciación de estos ataques”, señala Maya Horowitz, directora del grupo de inteligencia de amenazas de Check Point.

Como estos ataques están dirigidos al endpoint  en lugar de a la red, las organizaciones necesitan un enfoque multicapa para mantenerse completamente protegidos no solo de amenazas conocidas, sino también contra malware desconocido y amenazas zero-day, como malvertising. SandBlast Zero-Day Protection y Mobile Threat Prevention de Check Point, por ejemplo, protegen contra la más amplia gama de ataques en constante evolución y también protegen contra variantes de malware zero-day.