Investigadores de seguridad de Check Point han descubierto la infraestructura y los métodos de una enorme campaña de malvertising y de troyanos bancarios.

La operación distribuyó anuncios maliciosos a millones en todo el mundo, lanzando todo tipo de malware incluyendo cripto-mineros, ransomware y troyanos bancarios.

Los investigadores dijeron a la fuente que han observado más de 40,000 intentos de infección por semana de esta campaña (es decir, al menos 40,000 clics en anuncios maliciosos) y que la campaña aún estaba activa. Consideran que los criminales están obteniendo un rendimiento decente de su inversión publicitaria, por lo que pueden permitirse pagar más que los editores legítimos.

Check Point afirmó que el cerebro detrás de la campaña, a quien denominó Master134, redirigió el tráfico robado de más de 10,000 sitios WordPress vulnerados y lo vendió a AdsTerra, una plataforma publicitaria de subastas en tiempo real. Escribieron que AdsTerra luego lo vendió a revendedores de anuncios (ExoClick, AdKernel, EvoLeads y AdventureFeeds) que luego lo vendieron al principal anunciante de subastas.

Sin embargo, los investigadores de seguridad afirmaron que estos “anunciantes” realmente son criminales buscando distribuir ransomware, troyanos bancarios, bots y otro tipo de malware. Los anuncios infectados después aparecieron en miles de sitios web de miles en todo el mundo, en lugar de anuncios limpios y legítimos.

Los anuncios suelen contener código JavaScript malicioso que explota vulnerabilidades no parchadas en navegadores o complementos del navegador, como Flash Player de Adobe, para que el usuario se infecte con ransomware, keyloggers y otros tipos de malware simplemente por visitar un sitio alojando un link malicioso. Esta es una táctica bien conocida de hackers que data de hace por lo menos 10 años.

Check Point dijo que los delincuentes se burlaban del ecosistema de publicidad legítimo en línea. Incluso midieron el retorno de inversión de su gasto publicitario al compararlo el dinero que obtuvieron de la cripto minería y los rescates.

El sistema de pagos en este esquema también blanqueó los ingresos, cortesía del ecosistema de publicidad en línea, afirmaron los investigadores.

Master134 y comandante

Lo que comenzó como la afectación de miles de sitios web, todos usando WordPress v.4.7.1 y por lo tanto vulnerables a ataques de ejecución de código remoto, abarcó varias partes de la cadena de publicidad en línea, y terminó con la distribución de malware a usuarios de la red a nivel mundial, dijeron los investigadores.

Agregaron que la campaña reveló una asociación entre un actor de amenazas disfrazado como un editor (apodado “Master134”) y varios revendedores legítimos.

Los delincuentes detrás de los anuncios maliciosos pueden incluso dirigirse a usuarios dependiendo de si han o no actualizado sus sistemas operativos o navegadores, e incluso ciertos tipos de dispositivos específicos. Debido a la falta de tecnología de verificación en el campo, las redes publicitarias simplemente no detectarán la actividad maliciosa.

El contenido exacto que los usuarios ven depende de quiénes son, dónde están, el dispositivo que están usando y otras variables. Esto dificulta la revisón de contenido malicioso para los editores y las redes publicitarias.

La investigación de Check Point plantea preguntas sobre los métodos de verificación de anuncios utilizados en la industria de publicidad en línea y el rol de las redes publicitarias dentro del ecosistema de malvertising en general. Check Poimt sugirió que las compañías estaban siendo “manipuladas” para impulsar estos ataques.

Artículos relacionados:

• Recomendaciones de seguridad para WordPress
• Atacantes de Magento infectan de nuevo sitios para robar datos bancarios
• Miles de sitios web hackeados están infectando a sus visitantes con malware