Los piratas informáticos manipulan AdWords para redirigir a los usuarios y colocar banners publicitarios maliciosos.
Los ataques recientes han visto la red de AdSense infectada y Google Adwords manipulado por los atacantes, para crear un nuevo tipo de ataque de publicidad maliciosa.
Según un blog de Sucuri Denis Sinegubko, investigador sénior de malware, solicitó a la empresa que escaneara sitios web en busca de malware, ya que algunos eran redirigidos aleatoriamente a sitios web de revistas y, en todos los casos, los síntomas eran los mismos.
“Algunos usuarios fueron redirigidos aleatoriamente cuando hicieron clic en enlaces o cargaron nuevas páginas”, dijo Sinegubko. «Todos informaron que la nueva página se mostraría durante uno o dos segundos y luego los redirigiría a esos sitios web de revistas».
Si bien algunos visitantes veían regularmente esos redireccionamientos e incluso se quejaban de que los sitios web apenas se podían usar debido a ellos, Sucuri descubrió que el redireccionamiento se debía a scripts de terceros, que parecían bastante plausibles ya que todos los sitios web publicaban anuncios de terceros.
Reveló que los sitios con banners de AdSense (no anuncios de texto) redirigían aleatoriamente a los visitantes a sitios falsos que «revelaban secretos de salud», como productos para el cuidado de la piel y antienvejecimiento, mejoradores del coeficiente intelectual y del cerebro y productos para bajar de peso que pretendían tener buena reputación ( aunque a veces inexistente) blogs y revistas.
Sin embargo, todos los sitios falsos se encuentran en diferentes subdirectorios de dominios vinculados a lemode-mgz, que solo contenían páginas vacías. Tres de los cinco dominios se registraron en diciembre de 2014, otro en agosto de 2014 y el otro en 2013. “En todos los casos los datos whois están protegidos y todos estos dominios están alojados en la red de Amazon: EC2 y S3”, dijo Sinegubko.
Jared DeMott, investigador de seguridad de Bromium, dijo que la típica «publicidad maliciosa» normalmente solo mostraría exploits del navegador o algo similar, pero en este caso parece que hubo alguna otra estafa de click-jacking involucrada.
Jérôme Segura, investigador sénior de seguridad de Malwarebytes, dijo que otras empresas se habían puesto en contacto con ellos preguntándose si sus computadoras habían sido infectadas, y muchas se quejaron ante varios administradores del sitio que no podían ver nada malo en sus propios servidores.
Dijo: “Por lo general, la publicidad maliciosa se conoce por las redirecciones que son de naturaleza maliciosa, por ejemplo, una redirección a un kit de exploits. En cambio, enviar páginas fraudulentas es un poco más inusual y, por lo general, solo se hace en casos específicos.
“En este caso, parece que los malos se apropiaron de las cuentas existentes y, en particular, de algunas que tenían grandes presupuestos de gastos. Este es un nuevo enfoque interesante para nosotros y tiene algunas ventajas definidas. [for the attacker]. Por un lado, los delincuentes aún pueden realizar su actividad de forma anónima, ya que están usando el perfil de otra persona «.
También en el ataque, se manipularon dos campañas publicitarias para que presentaran banners maliciosos, y ambas utilizaron cuentas legítimas de AdWords con banners relevantes. Sinegubko dijo: “Supongo que los estafadores de alguna manera los secuestraron, probablemente robaron o adivinaron sus credenciales. Lo más probable es que esas cuentas no tuvieran campañas activas en este momento; de lo contrario, sus propietarios deben haber notado el aumento significativo de la actividad.
«La otra posibilidad es que los estafadores crearon esas cuentas falsas ellos mismos usando los sitios legítimos como tapadera».
Segura dijo que esto era más importante, ya que se utilizó una cuenta de AdWords legítima y aprobada con fondos importantes. «Esto podría explicar por qué Google tardó tanto en abordar el problema y definitivamente
deja algunas preguntas sin respuesta ”, dijo.
“Para mí, este ejemplo confirma que la publicidad maliciosa simplemente se ha salido de control y es probablemente el vector de infección más grande que seguiremos viendo en 2015. Los malos no podían esperar nada mejor para difundir malware o estafas: anonimato, propagación instantánea y efectividad «.
DeMott dijo: “El vector de ataque con el malware publicitario es comprometer una de las redes publicitarias de modo que un atacante pueda insertar sus scripts / redireccionamientos en anuncios que de otro modo serían legítimos, que solo recibirán hasta el x% de los visitantes según la heurística publicitaria normal . «
Sinegubko dudaba de que esta campaña se limitara a AdSense, ya que no hay ninguna razón por la que los estafadores no utilicen otras redes publicitarias, y recomendó a los webmasters que consideren cualquier script de terceros que coloquen en el código de su sitio como una amenaza potencial.
Itsik mantin, investigador de seguridad de Imperva, dijo: “Específicamente en este incidente, los atacantes no tuvieron un problema real con hacer ofertas altas, ya que según la especulación del blog, estaban festejando en la cuenta de AdWord de otra persona, probablemente usando credenciales robadas .
“Una vez que la víctima es capturada y traída, el atacante puede comenzar a realizar suplantación de identidad. Uno de los métodos comunes de phishing incluye hacerse pasar por un sitio legítimo y utilizar la confianza natural que la víctima tiene en este sitio, para convencerlo de que ingrese su número de tarjeta de crédito o cualquier otro secreto que el atacante necesite, por ejemplo, sus credenciales para una cuenta de AdWord. «