'Malvertising', un fenómeno cada vez más en auge
Los atacantes aprovechan el sistema automatizado de redes publicitarias y las plataformas de revendedores para filtrar todo tipo de contenido malicioso.
La publicidad online es otro de los grandes nichos de explotación para la industria del cibercrimen. Los atacantes utilizan el llamado malvertising para propagar virus a millones de usuarios de Internet en todo el mundo. Este tipo de fraude, aseguran desde la firma especializada en ciberseguridad Check Point, ya afecta a miles de páginas de WordPress, involucra a varias partes de la cadena de publicidad online y difunde contenido malicioso por todo el globo.
La compañía ha descubierto una campaña que afecta a todos los eslabones del sector; desde los anunciantes, pasando por los editores web, las redes publicitarias e incluso los revendedores. De este modo, el actor de amenazas y camuflado de editor, Master 134, aprovecha esta relación para distribuir una variedad de malware, que incluye troyanos bancarios, ransomware y bots. Para alimentar este proceso se sirve de la popular Ad-Network, AdsTerra.
Master 134 redirigía el tráfico robado de más de 10.000 sitios de WordPress pirateados y los vendía a AdsTerra que luego venía a plataformas como ExoClick, EvoLeads y AdventureFeeds. Estos revendedores pasarían el tráfico al anunciante de mayor oferta distribuyendo todo tipo de contenido malicioso. La red pujaba junto a anunciantes legítimos para que los lugares publicitarios seleccionasen sus contenidos cargados de malware y así mostrarlos en miles de sitios web de editores en lugar de anuncios limpios y legítimos.
Aunque la publicidad maliciosa no es reciente, este auge hará que alcance los 357.000 millones de dólares en 2020 respecto al gasto en el mercado mundial de medios digitales, según eMarketer. Los atacantes pueden conseguir información y segmentar a los usuarios en función de si tienen o no navegadores o sistemas operativos sin parchear e incluso tipos de dispositivos específicos. De este modo es muy complicado que las redes publicitarias detecten este tipo de actividad nociva.
Los anunciantes usan plataformas de pujas en tiempo real de revendedores y redes publicitarias para hacerse con los derechos de mostrar sus anuncios a particulares, y esos anuncios incluyen código JavaScript personalizado que se ejecuta en los navegadores del usuario. El contenido exacto que ven los internautas depende de quiénes son, dónde están, qué tipos de dispositivos están ejecutando y muchas otras variables. Esto hace que resulte difícil para los editores y las redes publicitarias revisar de manera concluyente cada versión de un anuncio en busca de contenido malicioso.
“Nuestra investigación plantea dudas sobre los métodos adecuados de verificación de anuncios utilizados en la industria de la publicidad en línea y el papel actual de las redes publicitarias en el ecosistema de malvertising en general”, asegura Maya Horowitz, directora del grupo de inteligencia de amenazas de Check Point. “De hecho, parece que estas empresas son, en el mejor de los casos, manipuladas y, en el peor de los casos, cómplices en la potenciación de estos ataques”.
