Toque de atención: las empresas de publicidad online, incapaces de detectar el malvertising

También puedes leer... DNS Security for Dummies Diez capas de seguridad para contenedores 20 Casos de uso de CASB Los riesgos de Blockchain Diez consejos sobre la gestión de Bots

Los ciberdelicuentes están utilizando la infraestructura digital de la industria de la publicidad online para propagar malware a millones de usuarios de Internet en todo el mundo. La firma ha descubierto una campaña de malvertising que afecta a miles de páginas web de WordPress, involucra a varias partes de la cadena de publicidad online y termina con la distribución de contenido malicioso a los usuarios de internet de todo el mundo.

Para entender este fraude, Check Point explica primero que la industria de la publicidad online tiene tres elementos: anunciantes, que desean promocionar sus productos o contenido; los editores que asignan espacio en su sitio web y lo venden a los anunciantes y, por último, las redes publicitarias, que pujan por comprar espacios publicitarios y conectan anunciantes con editores. Además, también participan los 'revendedores'. Estas compañías trabajan con las redes publicitarias para revender el tráfico que han recopilado de los editores a otros anunciantes.

El descubrimiento de esta campaña ha puesto de relieve una asociación inquietante entre un actor de amenazas disfrazado de Editor (apodado 'Master134') y varios revendedores legítimos que aprovechan esta relación para distribuir una variedad de malware, incluyendo troyanos bancarios, ransomware y bots. Para alimentar todo este proceso se utilizó la poderosa Ad-Network, AdsTerra.

En resumen, la investigación descubrió que Master134 redirigió el tráfico robado de más de 10.000 sitios de WordPress pirateados y lo vendió a AdsTerra, la plataforma de anuncios de Real Time Bidding (RTB), que luego vendió a plataformas como ExoClick, EvoLeads y AdventureFeeds. Estos revendedores pasarían el tráfico al 'Anunciante' de mayor oferta. Sin embargo, en lugar de ser éste una compañía legítima que vende productos reales, estos "anunciantes" buscaban distribuir ransomware, troyanos bancarios, bots y otros programas maliciosos con el tráfico de Master134.

De esta forma, los ciberdelincuentes han aprovechado el legítimo sistema automatizado integral de redes publicitarias y plataformas de ofertas de revendedores en su beneficio. Lo hacen pujando junto a anunciantes legítimos, como Nike o Coca Cola, pero colocando ofertas más altas para que las redes publicitarias seleccionen sus anuncios cargados de malware para mostrarlos en miles de sitios web de editores en lugar de anuncios limpios y legítimos.

Tendencia al alza
La publicidad maliciosa no es un fenómeno reciente. La previsión de eMarketer, respecto al gasto en el mercado mundial de medios digitales, es que alcancen los 357 mil millones de dólares en 2020. Esta tendencia alcista ha propiciado que los ciberdelincuentes hayan detectado oportunidades para manipular la relación entre anunciantes y editores.

En los últimos diez años, los anuncios que se muestran en sitios web legítimos y populares a menudo se presentan como una forma clave para que los delincuentes infecten a los usuarios más desprevenidos. En algunos casos, los anuncios contienen código malicioso que explota vulnerabilidades sin parches en navegadores o complementos del navegador, como Adobe Flash Player. Dichos anuncios tienen la capacidad de instalar ransomware, keyloggers y otros tipos de malware donde los usuarios no necesitan hacer nada más que visitar un sitio que aloja el enlace malicioso.

Los anunciantes usan plataformas de pujas en tiempo real de revendedores y redes publicitarias para hacerse con los derechos de mostrar sus anuncios a particulares, y esos anuncios incluyen código JavaScript personalizado que se ejecuta en los navegadores del usuario. El contenido exacto que ven los internautas depende de quiénes son, dónde están, qué tipos de dispositivos están ejecutando y muchas otras variables. Esto hace que resulte difícil para los editores y las redes publicitarias revisar de manera concluyente cada versión de un anuncio en busca de contenido malicioso.

Desde la perspectiva del anunciante, o en este caso 'malvertisers' (agentes de amenaza disfrazados de anunciantes), los usuarios pueden incluso ser segmentados en función de si tienen o no navegadores o sistemas operativos sin parchear, e incluso tipos de dispositivos específicos. Por lo tanto, si se realiza un escaneo de alto nivel para garantizar que los anuncios estén limpios, a menos que se encuentre la combinación exacta de características de un 'malvertiser', las redes publicitarias no detectarán la actividad maliciosa.

Estos datos suponen un toque de atención para el sector de la publicidad online. Como explica Maya Horowitz, directora del grupo de inteligencia de amenazas de Check Point, “nuestra investigación plantea claramente dudas sobre los métodos adecuados de verificación de anuncios utilizados en la industria de la publicidad online y el papel actual de las redes publicitarias en el ecosistema de malvertising en general. De hecho, como se ve en este último análisis, parece que estas empresas son, en el mejor de los casos, manipuladas y, en el peor, son cómplices en la potenciación de estos ataques”.

Como estos ataques están dirigidos al endpoint  en lugar de a la red, las organizaciones necesitan un enfoque multicapa para mantenerse completamente protegidos no solo de amenazas conocidas, sino también contra malware desconocido y amenazas zero-day, como el malvertising, concluye la firma.