Inicio Seguridad Amenazas ¿Qué es el malvertising? Y como protegerse de él

¿Qué es el malvertising? Y como protegerse de él

0
103

Malvertising, una palabra que combina malware con advertising (publicidad), se refiere a una técnica que utilizan los cibercriminales para atacar a las personas de forma encubierta. Por lo general, compran un espacio publicitario en páginas web confiables y, aunque sus anuncios parecen legítimos, tienen códigos maliciosos ocultos en su interior. Los anuncios maliciosos pueden redirigir a los usuarios a páginas web maliciosas o instalar malware en sus computadoras o dispositivos móviles.

Algunos de los sitios web más populares del mundo, incluidos los del New York Times, Spotify y la Bolsa de Valores de Londres, han mostrado inadvertidamente anuncios maliciosos, lo que pone en peligro a sus usuarios. Lo preocupante es que las personas pueden infectarse incluso si no hacen clic en las imágenes: a menudo, es suficiente con cargarlas. Este método se llama «descarga al paso”, porque todo lo que la víctima tiene que hacer es «pasar” por una página web.

Los cibercriminales utilizan el malvertising para implementar diversas formas de malware destinadas a generar dinero, incluidos ransomware, scripts de criptominería o troyanos bancarios. Algunos esquemas instalan scripts que ejecutan operaciones de fraude de clics en segundo plano. Para los atacantes, este esfuerzo puede resultar muy rentable. «Hoy en día, los grupos de malvertising son empresas muy organizadas”, afirma Jerome Dangu, cofundador y director de tecnología de Confiant, una empresa que desarrolla soluciones contra los anuncios maliciosos.

Malvertising vs adware

El malvertising a veces se confunde con el adware. El malvertising se refiere al código malicioso incluido inicialmente en los anuncios, que afecta a los usuarios que cargan una página web infectada. El adware es un programa que se ejecuta en la computadora de un usuario. A menudo se instala oculto dentro de un paquete que también contiene software legítimo, o aterriza en la máquina sin el conocimiento del usuario.

¿Qué tan común es el malvertising?
El malvertising está creciendo a un ritmo acelerado. Confiant calcula que uno de cada 200 anuncios en línea es malicioso, mientras que GeoEdge, que vende soluciones antimalvertising, estima que hasta uno de cada 100 anuncios no es seguro. En el 2017, Google bloqueó 79 millones de anuncios que intentaban enviar a personas a páginas web maliciosas, y eliminó 48 millones de anuncios que sugerían la instalación de software no deseado.

Los usuarios enfrentan múltiples amenazas a través de los anuncios malintencionados. «Los ataques más comunes son los redireccionamientos automáticos, en los que el usuario es expulsado de la página a una ubicación diferente, en la que está expuesto a muchas amenazas: estafas de phishing, ataques de rescate de malware, anuncios maliciosos que conducen a kits de explotación y descargas de archivos”, afirma Tobias Silber, vicepresidente de marketing de GeoEdge.

Los redireccionamientos automáticos representaron el 47,5% de todo el malvertising en el último trimestre del 2018, según GeoEdge. Mientras tanto, los preclics en anuncios maliciosos (descargas al paso o código malicioso incrustado en los scripts principales de una página) representaron el 25% de los incidentes. Además, los clics en anuncios maliciosos (después de que los usuarios hacen clic en el anuncio, se infectan directamente o son redirigidos a una página web maliciosa) representaron el 7%.

Los grupos de malvertising seguirán prosperando, porque a menudo es difícil llevarlos ante la justicia, afirma Michael Tiffany, presidente y cofundador de White Ops. A finales del 2018, su empresa trabajó con Google y algunas otras organizaciones y agencias policiales para acabar con una de las operaciones de fraude publicitario más sofisticadas, llamada «3ve” (pronunciado «Eve”). El grupo creó versiones falsas de páginas web y visitantes falsas para ganar dinero.

En este caso, los perpetradores fueron arrestados, pero eso no es lo que suele ocurrir cuando se trata de fraude publicitario. «Traerles consecuencias a los malos sigue siendo poco común”, afirma Tiffany. «3ve fue la primera vez que se aplicaron consecuencias de esa magnitud sobre cibercriminales sofisticados que cometían fraude publicitario”.

Cómo funciona el malvertising
Desde que se vio libremente por primera vez, a finales del 2007 o principios del 2008, el malvertising ha seguido aprendiendo nuevos trucos. En aquel entonces, una vulnerabilidad en Adobe Flash permitía a los atacantes distribuir malvertising a través de varias páginas web, incluido MySpace.

Unos años más tarde, en el 2011, se descubrió uno de los primeros casos de descarga desde un vehículo. Spotify estuvo en el centro de un ataque de malvertising que utilizó el famoso kit de explotación Blackhole, que estaba disponible para alquilar por unos pocos cientos de dólares al mes.

Sin embargo, a lo largo de los años, el modus operandi del malvertising se ha mantenido igual. Por lo general, los atacantes compran espacios publicitarios de agencias de publicidad y luego envían imágenes infectadas con la esperanza de que no los descubran. A veces, comienzan enviando primero un anuncio legítimo y luego insertan un código malicioso. Después de que infectan a suficientes personas, pueden limpiar sus rastros y eliminar el código.

Estos cibercriminales suelen aprovechar los complejos mecanismos que utiliza la industria publicitaria. En muchos casos, puede haber una cadena de abastecimiento larga entre el anunciante y el editor, que incluye una red publicitaria y uno o más revendedores. Como han demostrado los recientes ataques de malvertising, toda esta cadena de abastecimiento puede manipularse. La empresa de seguridad, Check Point Software Technologies, se dio cuenta de que una empresa de publicidad en línea legítima podría haber estado en el centro de un plan de malvertising.

En julio del 2018, los investigadores de Check Point descubrieron una operación masiva que distribuía malvertising a los usuarios que pasaban por miles de páginas web de WordPress comprometidas. Los anuncios tenían código JavaScript malicioso que explotaba vulnerabilidades sin actualizaciones en navegadores y complementos de navegador, incluido Adobe Flash Player. Estos atacantes utilizaron múltiples kits de explotación, incluido el prolífico RIG, que combina diferentes tecnologías web (DoSWF, JavaScript, Flash y VBScript) para ocultar los ataques.

Check Point notó algo aún más alarmante. «AdsTerra, una famosa empresa de redes publicitarias, ha estado comprando tráfico de un cibercriminal conocido que se hace pasar por un editor ordinario, que obtiene su tráfico a través de actividades maliciosas”, escribió Check Point en su página web.

Dangu ha notado que los publicistas maliciosos establecen relaciones con las plataformas publicitarias de mayor reputación. «La industria de la tecnología publicitaria cada vez es más consciente de que ha sido infectada por los malvertisers hasta lo más profundo”, afirma. «Cada vez que se muestra un anuncio malicioso a un usuario, es porque este anuncio evadió varias capas de detección del ecosistema de la tecnología publicitaria”.

A veces, los cibercriminales ni siquiera necesitan pasar por todo este proceso si pueden hackear páginas web grandes directamente, engañándolas para que les ofrezcan a las personas anuncios maliciosos. Por ejemplo, según lo que descubrió Randy Abrams, bloguero de seguridad, le sucedió a Equifax justo después de su notoria irrupción.

Desde la perspectiva de un usuario habitual, los anuncios maliciosos son atractivos porque a menudo provocan emociones fuertes y promueven llamadas a la acción. También pueden prometer productos a precio de ganga, incluido un iPhone por solo un dólar, engañando a los usuarios para que proporcionen los datos de su tarjeta de crédito.

Confiant descubrió que la actividad de malvertising es un 36% mayor durante los fines de semana, siendo el domingo el día preferido de la semana para atacar a los publicistas maliciosos. Las festividades o temporadas de compras, como el Black Friday, cuando las personas buscan activamente descuentos, también ven un aumento en el malvertising.

¿Cuál es el estado actual del malvertising?
La industria del malvertising se está volviendo más sofisticada en lo que respecta a sus métodos de distribución de malware. El inicio del 2019 trajo un número creciente de anuncios maliciosos que no requieren un clic del usuario, afirma Phil Cowger, investigador de la empresa de ciberseguridad RiskIQ.

Actualmente, el ataque más común es la estafa de tarjetas de regalo, afirma Dangu de Confiant. A fines del 2018, la compañía descubrió una campaña masiva de malvertising dirigida a dispositivos iOS propiedad de ciudadanos estadounidenses. El grupo de cibercriminales, conocido como ScamClub, secuestró 300 millones de sesiones de navegador en solo dos días. «Los atacantes recopilan grandes cantidades de datos privados que las víctimas comparten voluntariamente, pensando que recibirán una recompensa”, afirma Dangu refiriéndose a la estafa de las tarjetas de regalo de Amazon. «Los datos recopilados incluyen la intención de compra y los datos relacionados con la salud, y los atacantes los revenden a los proveedores de datos”.

Otro grupo, eGobbler, también se dirigió a los usuarios de Estados Unidos. La operación masiva estuvo relacionada con el fin de semana del Día de los Presidentes. Cuando las víctimas hacían clic en un anuncio, las redirigía a páginas web maliciosas, muchas de las cuales invitaban a las víctimas a ingresar datos personales y financieros.

Dangu afirma que los complejos mecanismos de la industria publicitaria tienen parte de la culpa. «Una de las campañas de eGobbler más recientes se realizó a través de relaciones directas con siete plataformas publicitarias”, afirma. «Este es un número asombroso y muestra cuán profundamente arraigados están [los grupos de malvertising] en el ambiente de la tecnología publicitaria”.

eGobbler se dirige a bibliotecas HTML5, como CreateJS y GreenSock, para ocultar su código malicioso, lo que dificulta que los analistas de seguridad lo encuentren y los escáneres automáticos lo detecten. El grupo aprovecha sofisticadas técnicas antibot para esconderse de los escáneres, según Dangu.

Imágenes políglotas y esteganografía
Una de las herramientas que les gusta usar a los grupos de malvertising es la esteganografía. El concepto de ocultar un mensaje dentro de otro texto, o en una imagen, tiene al menos 2.500 años, y Herodoto mencionó un par de ejemplos en sus Historias.

Los grupos de malvertising a menudo utilizan el mismo enfoque: incrustar código malicioso en una imagen invisible oculta en la imagen de un anuncio. El número de incidentes de este tipo ha aumentado exponencialmente en el último trimestre del 2018, y en el 2019, según GeoEdge.

Una de las víctimas fue Experian, una empresa de servicios de información global multimillonaria. «Uno de sus anuncios fue dirigido inocentemente con una segunda imagen, una que no era visible para el usuario, pero que estaba oculta dentro de la solicitud de anuncio que llamaba al código malicioso incrustado”, afirma Silber. «Una vez que el anuncio aparece en la desktop o en el teléfono de un usuario, el código malicioso se habilita. En este caso, el código malicioso fue un redireccionamiento automático a un sitio de phishing dirigido a usuarios de Estados Unidos”.

La esteganografía también fue empleada por un grupo de malvertising llamado VeryMal, que se dirigía a los usuarios de Mac, según un informe. En este caso, el malware JavaScript se escondía dentro de archivos de la imagen.

Los grupos criminales siempre buscan mejorar, por lo que la esteganografía recientemente tuvo un hermano aún más inteligente: las imágenes políglotas. Los investigadores de Devcon descubrieron un grupo de cibercriminales que utilizaba esta sofisticada técnica.

En una imagen, los exploits esteganográficos utilizan datos ocultos alterando algunos píxeles. Un usuario común y corriente que lo mire no sospecharía nada, pero la esteganografía «requiere algo de JavaScript adicional (no en la imagen) para conocer los patrones y compensaciones para encontrar los píxeles explotados y volver a ensamblarlos en JavaScript ejecutable”, escribió Devcon en una entrada de blog.

Los exploits de Polyglot van un paso más allá: pueden verse como una imagen y un JavaScript válido al mismo tiempo, de ahí el nombre. Otra característica es que no necesitan un script externo para extraer la carga útil.

En este caso, el actor malintencionado empleó imágenes BMP y jugó con los bytes hexadecimales del archivo. Los manipuló para que, en lugar del tamaño de la imagen, la computadora pudiera leer los códigos de caracteres para /** -la combinación de caracteres que crea un comentario en JavaScript. Cuando los intérpretes de JavaScript ven eso, ignoran todo lo escrito en el medio.

El atacante agregó la secuencia =’ y luego la cadena de carga útil. Después de esto, el archivo podría ejecutarse en el navegador de dos maneras: como una imagen ignorando el JavaScript, o como un script ignorando los datos de la imagen.

Malvertising móvil
Los smartphones y las tabletas son cada vez más atractivos para los grupos de malvertising porque los usuarios tienden a preocuparse menos por la seguridad de estos dispositivos. También es común tocar accidentalmente un anuncio cuando está usando un smartphone.

Las recientes campañas de malvertising se han dirigido tanto a usuarios de Android como de iPhone. Un ejemplo de ello es PayLeak, capturado a finales del 2018. Una publicación ganadora del premio Pulitzer, originada en la costa oeste americana, sirvió a sus lectores con anuncios maliciosos. Cuando el usuario hizo clic en el anuncio, este llamó a un dominio malicioso registrado en China. Este malware estaba interesado, por ejemplo, en averiguar qué tipo de dispositivo estaba usando la víctima, si estaba protegido por antivirus y si la víctima estaba en movimiento o en reposo. Los usuarios de Android fueron atraídos con una tarjeta de regalo de Amazon que los redirigió a un sitio de phishing. Mientras tanto, los usuarios de iPhone recibieron sucesivas ventanas emergentes, que incluían instrucciones falsas para actualizar su cuenta de Apple Pay.

El malvertising móvil está en su infancia, afirma Michael Covington, vicepresidente de Wandera, una empresa de seguridad móvil. «Los atacantes todavía están tratando de determinar qué pueden hacer con estos canales, a menudo desprotegidos en el dispositivo”, afirma.

El malvertising móvil tiende a clasificarse en tres categorías generales de intención. «El uso más común de malvertising es realizar ataques de phishing muy inteligentes dentro de la aplicación”, afirma Covington. El cryptojacking (usar la computadora de otra persona para extraer criptomonedas) por medio del canal publicitario ocupa el segundo lugar. Wandera notó que la cantidad de dispositivos afectados por el cryptojacking creció casi 300%, de mes a mes, a fines del 2018.

El tercer tipo de campaña de malvertising está diseñada para entregar cargas útiles de malware al dispositivo. «Si bien este suele ser el ataque menos exitoso a través de anuncios, los atacantes están constantemente en la búsqueda de nuevos medios para enviarles aplicaciones maliciosas a los usuarios desprevenidos”, afirma Covington.

En noviembre del 2020, The Media Trust informó que había encontrado un nuevo malware móvil, llamado Trickstack-3PC, que se entregó a través de etiquetas adjuntas a anuncios. Las etiquetas son en realidad código JavaScript, el cual crea un objeto JavaScript que utiliza la computadora de la víctima para cometer fraude publicitario.

Específicamente, ofrece impresiones de anuncios no visibles y ejecuta clics no humanos en anuncios para generar ingresos de las redes publicitarias. Aunque las víctimas no pueden ver lo que Trickstack-3PC está haciendo, podrían ver una degradación significativa del rendimiento en sus dispositivos.

Cómo protegerse contra el malvertising
Los investigadores de seguridad recomiendan instalar herramientas antivirus y mantener actualizado todo el software, incluido el sistema operativo, los navegadores, Adobe Flash y Java. Se puede lograr una protección aún mayor evitando el uso de Flash y Java por completo.

Sin embargo, los expertos en seguridad no creen que los bloqueadores de anuncios sean una solución, porque podrían acabar con la industria de la publicidad y el periodismo. «Editores como LA Times o NY Times, dependen del dinero de la publicidad para pagarles a los periodistas, reporteros gráficos, editores, etc.”, afirma la directora ejecutiva de Devcon, Maggie Louie. Lo mismo sucede con este portal. «Si simplemente instala un navegador bloqueador de anuncios, básicamente ha cortado todos los ingresos para el editor”. Louie recomienda herramientas como Ghostery, que pueden filtrar los anuncios maliciosos y dejar pasar los buenos.

La mayoría de las empresas de seguridad creen que los usuarios individuales no pueden resolver el problema del malvertising. Las organizaciones de medios, los navegadores y la industria de la publicidad deberían asumir una mayor responsabilidad por lo que está sucediendo, afirman. Los editores, por ejemplo, solo deberían trabajar con compañías publicitarias confiables, sugirieron algunos investigadores, pero incluso los nombres de buena reputación en la industria se han visto afectados por el malvertising. Phil Cowger, investigador de RiskIQ, recomienda a los editores y a los intercambios de anuncios que utilicen productos de seguridad «que les den visibilidad de toda la cadena de abastecimiento para publicidad”.

Dangu ha notado una pequeña mejora en la forma en que los editores tratan el malvertising. Cada vez más organizaciones de este tipo «están recurriendo a la detección del lado del cliente, en tiempo real, que puede bloquear el comportamiento malicioso directamente desde los navegadores de los usuarios finales, mientras se mantienen los anuncios seguros en ejecución”.

Los proveedores de navegadores también se están ocupando del malvertising, ya que los atacantes dependen, en gran medida, de las sesiones de secuestro mediante una técnica llamada redirección forzada. «El sandboxing de iframe HTML5 es una función del navegador que está ganando adopción lentamente para proteger de los secuestros a las publicaciones de anuncios”, afirma Dangu. «Google tomó su propia iniciativa y desarrolló un bloqueador de redireccionamiento de origen cruzado más amplio para iframes”.

A medida que los grupos de malvertising se vuelven más audaces y tortuosos, las mejores técnicas para protegerse contra ellos son una combinación de un sistema actualizado que ejecuta software de seguridad y la conciencia necesaria para reconocer las estafas, afirma Jerome Segura, jefe de inteligencia de amenazas en la compañía de seguridad en Internet, Malwarebytes.

«Esto es manejado por el componente de protección web de las soluciones que pueden ser una base de datos de dominios y direcciones IP complementadas por un motor heurístico”, afirma Segura. «Los actores de amenazas rotan su infraestructura rápidamente y, en lugar de jugar al gato y al ratón con ellos, puede identificar muchas de sus plantillas de manera proactiva”.

En cuanto al malvertising móvil, lo mejor que pueden hacer los usuarios de dispositivos móviles para mantenerse seguros es evitar las tiendas de aplicaciones de terceros que no examinan a los desarrolladores, afirma Covington. «También recomendamos que las organizaciones consideren el uso de una solución de defensa contra amenazas móviles para detectar el amplio conjunto de riesgos que posiblemente podrían entregarse a través del malvertising”.

El futuro del malvertising
Los investigadores de seguridad creen que el malvertising probablemente prosperará en los próximos años, y los grupos criminales se volverán más inteligentes, más ricos y difíciles de atrapar. Louie, de Devcon, espera un aumento en el uso de políglotas. «Pronostico que pronto veremos muchas más amenazas avanzadas a través de los anuncios y un renacimiento de los ataques estilo watering hole”, afirma.

Dangu teme que los actores de amenazas continúen mezclándose con el ambiente en el que operan. «Hace apenas uno o dos años, las cargas útiles de malvertising eran mucho más obvias porque el código parecía no pertenecer”, afirma. «En estos días, los atacantes están mejorando al aprovechar la funcionalidad del servidor de anuncios nativo para que parezca que son parte de la tecnología publicitaria en lugar de un código de terceros”.

La mayoría de las empresas de seguridad esperan que los grupos de malvertising se dirijan cada vez más a los usuarios móviles, ya que algunos usuarios no creen que deban instalar productos de seguridad en sus dispositivos. En el 2018, GeoEdge experimentó un aumento del 50% en los ataques móviles de publicidad y, desde principios del 2019, la compañía notó un aumento del 67% en anuncios maliciosos dirigidos al ambiente interno de la aplicación.

Segura ha notado una tendencia similar. «A diferencia de una desktop, donde ya existen múltiples niveles de protección, los dispositivos móviles son muy propensos a una variedad de ataques debido a la falta de salvaguardas, pero también a la falta de conciencia de los propios usuarios”, afirma.

También existen algunos aspectos positivos. Cowger de RiskIQ cree que veremos una disminución en la prevalencia de mineros de criptomonedas basados en JavaScript, como resultado de la muerte de Coinhive.

Otros esperan que la industria de la publicidad sea más consciente del problema, lo que conducirá a una creciente demanda de herramientas para garantizar la calidad y seguridad de los anuncios. «Las quejas de los usuarios llevan a más y más editores a buscar ayuda, ya que les gustaría proteger su marca y asegurar una experiencia de usuario positiva”, afirma Silber de GeoEdge.

Dangu, de Confiant, es aún más optimista cuando se trata de lo que podría hacer la industria de la publicidad. Varias iniciativas apuntan a la colocación de anuncios en espacios aislados a los que ha contribuido la comunidad de seguridad, afirma. «Una vez que la adopción en torno a esto alcance una masa crítica, la mayoría de estos actores estarán limitados, si se apegan a sus esfuerzos actuales, y tendrán que pasar a la próxima generación de carga útil de malvertising, que aún está por verse”.

Andrada Fiscutean CSOOnline.com – CIOPeru.pe