Seguridad
Amenazas

'Malvertising': la cara B de los anuncios online

Pablo Teijeira, director general de Sophos Iberia, analiza el fenómeno del "malvertising", un tipo de ataque muy lucrativo para el cibercriminal. El directivo explica cómo se produce, sus repercusiones y las claves para que los servidores de anuncios puedan ponerle freno.

Sophos Teijeira

Es bastante probable que ya hayas visto u oído hablar del malvertising. Para saber más sobre este tipo de ataque, veamos cómo actúa:

-Visitas una página web impecable (que tu departamento de TI aprueba). ¡Vamos!, que incluso el personal de TI está echando un vistazo a esa página.
-El contenido de la página parece estar bien y es interesante, por lo que empiezas a leerla.
-La página incluye anuncios, a los que a veces echas un vistazo, pero que en la mayoría de los casos, sueles ignorar.
-Y entonces empiezan a aparecer los anuncios... ¡BOOM! ¡Tú antivirus también salta! ¡Contenido malicioso a través de los anuncios!

Así es el malvertising, y a los ciberdelincuentes les encanta. En primer lugar, porque es casi tan fácil como hackear el site donde aparecen los anuncios maliciosos, sin realmente tener que entrar del todo en los servidores web de la marca. En segundo lugar, los servidores de anuncios a menudo envían contenido a muchos clientes diferentes, o a numerosas marcas que pertenecen a una empresa, lo que es igual que piratear muchas webs de una sola a la vez. En tercer lugar, el contenido del anuncio es por lo general aleatorio, por lo que los anuncios maliciosos no siempre aparecen, lo que complica la tarea de localizarlos a los investigadores. En cuarto lugar, los servidores de anuncios a menudo confían en republicar contenido (como archivos HTML y CSS, imágenes, programas de JavaScript, etc…) desde numerosas fuentes de terceros, lo que hace el control de la versión más difícil.
Si alguna vez has tenido que mantener el contenido y la calidad de una web, sabrás la cantidad de trabajo que puede suponer (incluso si se trata tan sólo del de tu propio blog o servidor de intranet). Por todo esto, si eres el responsable de cualquier servidor de anuncios, debes ser especialmente cuidadoso y prestar mucha atención a los parches.

Estadísticas de infecciones por Malvertising
SophosLabs ha desvelado algunas estadísticas de infección maliciosa en septiembre de 2015, y las cifras por sí mismas son toda una advertencia. Tomamos como ejemplo y hacemos foco en las detecciones de malware reportados como Mal/Iframe-AR, que hacen referencia a una campaña de infección que comenzó aproximadamente en junio de 2015, dirigida a los servidores que ejecutan Revive Adserver, un sistema de herramientas para servidores de anuncios open source muy popular, conocido antes como OpenX Source, que provee a casi 7.500 servidores de anuncios en todo el mundo. Puede no parecer mucho, en comparación con los cientos de miles de servidores que utilizan software como WordPress, Joomla y Drupal. Pero, como señalamos antes, los servidores de anuncios normalmente se proveen de contenido de múltiples sitios y múltiples marcas, por lo que los 7.500 casos de Revive AdServer son un objetivo muy atractivo para los ciberdelincuentes.
Los servidores de anuncios comprometidos tuvieron un impacto mundial, con 15.000 usuarios de Sophos de todo el mundo reportando a SophosLabs que su navegador había detectado un anuncio malicioso (esto significa que 15.000 ordenadores protegidos con Sophos detectaron una o más amenazas por Mal / Iframe-AR), que era parte de este cibercrimen en particular. Los ciberdelincuentes no necesitan añadir mucho contenido nuevo en la base de datos del servidor de anuncios para cumplir sus necesidades.
Al contactar con los sitios que aparecieron en los informes reportados por infección, para poder así advertir a los administradores de sistemas, los que respondieron confirmaron que contaban con versiones muy antiguas de Revive Adserver; versión 3.0.1 e incluso anteriores. Estas versiones eran (y aún son) vulnerables a lo que se conoce como ataque SQL Injection. Y en lugar de enviar una simple solicitud, un cibercriminal envía un comando oculto a la base de datos. Si el servidor al otro lado no tiene cuidado al procesarlo, puede terminar ejecutando el comando SQL que no debe.
Obviamente, un cibercriminal que quiere meter malware en tu servidor para que a su vez, tú se lo transmitas a tus visitantes desprevenidos, no ejecutará un comando para eliminar tu base de datos. Sino que modificará tu base de datos de anuncios para distribuir su contenido malicioso. Este es el contenido malicioso que añade el “mal” a la palabra malvertising.

¿Qué hacer?
• Mantén el servidor de anuncios parcheado con la versión actualizada y correcta.
• Considera la posibilidad de ejecutar un antivirus en el servidor.
• Lee nuestros consejos de seguridad de Linux.
• Y escuchar nuestro podcast, When Penguins Attack.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper