Malvertising es un ataque en el que los perpetradores inyectan código malicioso en redes legítimas de publicidad en línea. El código normalmente redirige a los usuarios a sitios web maliciosos.

El ataque permite a los perpetradores apuntar a usuarios en sitios web de gran reputación, por ejemplo,  The New York Times Online ,  The London Stock Exchange ,  Spotify  y  The Atlantic , todos los cuales han estado expuestos a publicidad maliciosa.

El ecosistema de publicidad en línea es una red compleja que involucra sitios de editores, intercambios de anuncios, servidores de anuncios, redes de retargeting y redes de  entrega de contenido (CDN) . Múltiples redirecciones entre diferentes servidores ocurren después de que un usuario hace clic en un anuncio. Los atacantes aprovechan esta complejidad para colocar contenido malicioso en lugares que los editores y las redes publicitarias menos esperarían.

Publicidad maliciosa frente a malware publicitario

La publicidad maliciosa generalmente se confunde con malware publicitario o adware, otra forma de malware que afecta los anuncios en línea.

El adware es un programa que se ejecuta en la computadora de un usuario. Por lo general, se empaqueta con otro software legítimo o se instala sin el conocimiento del usuario. El adware muestra publicidad no deseada, redirige las solicitudes de búsqueda a sitios web publicitarios y extrae datos sobre el usuario para ayudar a orientar o publicar anuncios.

Las diferencias entre la publicidad maliciosa y el malware publicitario incluyen:

  • La publicidad maliciosa implica un código malicioso que se implementa inicialmente en la página web de un editor. Sin embargo, el adware solo se utiliza para dirigirse a usuarios individuales.
  • La publicidad maliciosa solo afecta a los usuarios que ven una página web infectada. El adware, una vez instalado, opera continuamente en la computadora del usuario.

Cómo afectan los anuncios maliciosos a los usuarios web

La publicidad maliciosa podría realizar los siguientes ataques a los usuarios que ven la publicidad maliciosa sin hacer clic en ella:

  • Una “descarga oculta”: instalación de  malware  o adware en la computadora de un usuario que ve el anuncio. Este tipo de ataque generalmente es posible debido a las vulnerabilidades del navegador.
  • Redirección forzada del navegador a un sitio malicioso.
  • Mostrar publicidad no deseada, contenido malicioso o ventanas emergentes, más allá de los anuncios mostrados legítimamente por la red publicitaria. Esto se hace ejecutando Javascript.Cómo afectan los anuncios maliciosos a los usuarios web

La publicidad maliciosa puede hacer lo siguiente cuando los usuarios hacen clic en un anuncio malicioso:

  • Ejecutar código que instala malware o adware en la computadora del usuario
  • Redirigir al usuario a un sitio web malicioso, en lugar del objetivo sugerido por el contenido del anuncio.
  • Redirigir al usuario a un sitio web malicioso muy similar a un sitio real, que es operado por el atacante: un  ataque de phishing

Cómo afectan los anuncios publicitarios maliciosos a los editores

La amenaza para los editores es la reputación dañada, la pérdida de tráfico e ingresos y la responsabilidad legal por los daños causados ​​a los usuarios que visitan sus sitios.

Si bien los editores son conscientes del problema, les resulta difícil probar o bloquear anuncios maliciosos. Las redes publicitarias publican anuncios de millones de anunciantes y muestran anuncios de forma dinámica de acuerdo con las ofertas en tiempo real, lo que hace que sea muy difícil probar todos los anuncios que realmente se muestran a los usuarios.

Ejemplos: cómo se inserta el malware en los anuncios

Los atacantes utilizan varios mecanismos de entrega para insertar código malicioso en los anuncios:

  • Malware en llamadas de anuncios  : cuando un sitio web muestra una página que contiene un anuncio, el intercambio de anuncios envía anuncios al usuario a través de muchos terceros. Uno de estos servidores de terceros puede verse comprometido por un atacante, que puede agregar un código malicioso a la carga del anuncio.
  • Inyección de malware posterior al clic  : cuando el usuario hace clic en un anuncio, normalmente se le redirige entre varias URL, que terminan en la página de destino del anuncio. Si un atacante compromete cualquiera de las URL a lo largo de esta ruta de entrega, puede ejecutar código malicioso.
  • Malware en la creatividad del anuncio  : el malware se puede incrustar en un anuncio de texto o banner. Por ejemplo, en HTML5 es posible entregar un anuncio como una combinación de imágenes y JavaScript, que puede contener código malicioso. Las redes publicitarias que entregan anuncios en formato Flash (.swf) son especialmente vulnerables.
  • Malware dentro de un píxel  : los píxeles son un código incrustado en una llamada de anuncio o página de destino, que envía datos a un servidor con fines de seguimiento. Un píxel legítimo solo envía datos. Si un atacante intercepta la ruta de entrega de un píxel, puede enviar una respuesta, que contiene un código malicioso, al navegador del usuario.
  • Malware dentro del video  : los reproductores de video no protegen contra el malware. Por ejemplo, un formato de video estándar llamado VAST contiene píxeles de terceros, que podrían contener código malicioso. Los videos pueden infectar a los usuarios al mostrar una URL maliciosa al final del video.
  • Malware dentro de video Flash  : los videos basados ​​en Flash pueden inyectar un Iframe en la página, que descarga malware, incluso sin que el usuario haga clic en el video. Los archivos Flash también pueden cargar un banner pre-roll (una imagen estática que el usuario puede ver mientras se carga el archivo). Los atacantes pueden inyectar código malicioso en el banner pre-roll y puede ejecutarse incluso sin que el usuario haga clic en el video.
  • Malware en una página de destino  : incluso en páginas de destino legítimas atendidas por sitios web acreditados, puede haber elementos en los que se puede hacer clic que ejecutan código malicioso. Este tipo de malware es particularmente peligroso porque los usuarios hacen clic en un anuncio, llegan a una página de destino real y legítima, pero están infectados por un elemento malicioso en la página.

Prevención y mitigación de publicidad maliciosa

La publicidad maliciosa es un ataque que es difícil de detectar y mitigar, y requiere la acción tanto de los usuarios finales como de los editores.

¿Cómo pueden los usuarios finales ayudar a mitigar la publicidad maliciosa?

  • El software antivirus puede proteger contra algunas descargas ocultas o códigos maliciosos ejecutados por publicidad maliciosa.
  • Los bloqueadores de anuncios ofrecen una buena protección contra la publicidad maliciosa, porque bloquean todos los anuncios, junto con sus elementos maliciosos.
  • Evitar el uso de Flash y Java puede proteger a los usuarios de muchas vulnerabilidades que comúnmente explota la publicidad maliciosa.
  • La actualización de navegadores y complementos puede evitar muchos ataques de publicidad maliciosa, en particular aquellos que operan antes de que el usuario haga clic en el anuncio.

¿Cómo pueden los editores ayudar a mitigar la publicidad maliciosa?

  • Examine cuidadosamente las redes publicitarias y pregunte sobre las rutas de entrega de anuncios y las prácticas de seguridad.
  • Escanee la creatividad del anuncio destinada a la visualización para descubrir malware o código no deseado.
  • Si es posible, aplique una política de mostrar solo tipos de archivos específicos en un marco de anuncio (JPG, PNG, etc.) sin permitir JavaScript u otro código.
  • El Web Application Firewall (WAF) de Imperva   puede ayudar a proteger contra algunas amenazas de publicidad maliciosa mediante el uso de análisis de firma, comportamiento y reputación para bloquear la ejecución de código malicioso o las solicitudes que llegan de fuentes no confiables, a lo largo de la cadena de entrega de anuncios.

FUENTE: IMPERVA

INFORMÁTICA FORENSE
error: Content is protected !!