Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

La campaña de publicidad maliciosa ‘Master134’ plantea preguntas a las empresas de publicidad online

¿Por qué varias firmas de publicidad en línea importantes vendían tráfico de sitios de WordPress comprometidos a actores de amenazas que operaban algunos de los kits de explotación más peligrosos que existen?

Esa fue la pregunta en el corazón de un informe de 2018 de Check Point Research que detalla el funcionamiento interno de una extensa campaña de publicidad maliciosa que llama «Master134», que involucró a varias compañías de publicidad en línea. Según el informe, titulado «Una campaña de publicidad maliciosa de secretos y mentiras», un actor o grupo de amenazas había comprometido a más de 10,000 sitios vulnerables de WordPress a través de una vulnerabilidad de ejecución remota de código que existía en una versión anterior del sistema de administración de contenido.

Publicidad maliciosa es un problema común y persistente para la industria de la seguridad de la información, gracias a la omnipresencia de los anuncios digitales en Internet. Los actores de amenazas se han vuelto expertos en explotar la tecnología vulnerable y la supervisión laxa en el ecosistema de anuncios en línea, lo que les permite usar anuncios como un mecanismo de entrega de malware. Como resultado, muchos expertos en seguridad recomiendan el uso de bloqueadores de anuncios para proteger los puntos finales de las amenazas de publicidad maliciosa.

Pero Master134 no fue una típica campaña de publicidad maliciosa.

Una maraña de redireccionamientos

En lugar de utilizar anuncios publicitarios como vector para la infección de malware, los actores de amenazas se basaron en un componente diferente del ecosistema de publicidad digital: la redirección del tráfico web. Además de ofrecer anuncios digitales, muchas redes publicitarias compran y venden tráfico, que luego se redirige y se utiliza para generar impresiones en los anuncios de los editores. Estas compras de tráfico se realizan a través de lo que se conoce como ofertas en tiempo real (RTB), y aparentemente se comercializan como usuarios legítimos o «reales», aunque los expertos dicen Se utilizan una serie de técnicas nefastas para aumentar artificialmente las impresiones y cometer fraude publicitario. Estas técnicas incluyen el uso de bots, secuestro de tráfico y códigos de redirección maliciosos.

Los actores de amenazas nunca dejan de buscar nuevas técnicas para difundir sus campañas de ataque y no dudan en utilizar medios legítimos para hacerlo.

Informe de Check Point Research, ‘Una campaña de publicidad maliciosa de secretos y mentiras’

Según Check Point Research, parte de Check Point Software Technologies, Master134 fue una operación inusualmente compleja que involucró múltiples redes publicitarias, plataformas RTB y etapas de redireccionamiento de tráfico. En lugar de enrutar el tráfico de WordPress secuestrado a anuncios maliciosos, los actores de amenazas redirigieron el tráfico destinado a esos sitios a un servidor remoto ubicado en Ucrania con la dirección IP «134.249.116.78», de ahí el nombre Master134. (Check Point dijo que una segunda fuente de tráfico más pequeña para el servidor Master134 era una CACHORRO que redirigió el tráfico destinado a las páginas de inicio de las víctimas).

Luego, la campaña Master134 redirigió el tráfico de WordPress a dominios propiedad de una empresa conocida como Adsterra, una red publicitaria en línea con sede en Chipre. Actuando como un editor legítimo, Master134 vendió el tráfico de WordPress a la red de Adsterra a otro empresas de publicidad en línea, a saber, ExoClick, EvoLeads, AdventureFeeds y AdKernel.

A partir de ahí, el tráfico de WordPress redirigido se revende por segunda vez a los actores de amenazas que operan algunos de los sitios y campañas maliciosos más conocidos en la memoria reciente, incluidos HookAds, Seamless y Fobos. El tráfico se redirigió por tercera y última vez a «algunos de los jugadores más importantes de la tierra del kit de explotación», según Informe de Check Point, incluido el RIG y Magnitude EK.

Los investigadores observaron además que todo el tráfico de Master134 terminó en manos de los actores de amenazas y nunca fue comprado por anunciantes legítimos. Eso, según Check Point, indica «una amplia colaboración entre varias partes maliciosas» y una «manipulación de toda la cadena de suministro de publicidad en línea», en lugar de una serie de coincidencias.

Operación de publicidad maliciosa Master134
La cadena de redireccionamiento / infección de la campaña Master134.

¿Por qué los actores de amenazas y las redes publicitarias se involucrarían en un esquema tan complejo? Lotem Finkelsteen, líder del equipo de análisis de inteligencia de amenazas de Check Point y uno de los contribuyentes al informe Master134, dijo que la campaña de publicidad maliciosa era un arreglo de beneficio mutuo. Las empresas publicitarias generan ingresos del tráfico de WordPress secuestrado al revenderlo. Los actores de amenazas de Master134, sabiendo que las empresas publicitarias tienen poco o ningún incentivo para inspeccionar el tráfico, utilizan las plataformas de redes publicitarias como un sistema de distribución para emparejar a las víctimas potenciales con diferentes kits de explotación y dominios maliciosos.

«En resumen, parece que los actores de amenazas que buscan tráfico para sus campañas simplemente compran espacio publicitario de Master134 a través de varias redes publicitarias y, a su vez, Master134 vende indirectamente tráfico / víctimas a estas campañas mediante publicidad maliciosa», escribieron los investigadores de Check Point.

El informe de Check Point también fue una acusación condenatoria a la industria de la publicidad en línea. «De hecho, los actores de amenazas nunca dejan de buscar nuevas técnicas para difundir sus campañas de ataque y no dudan en utilizar medios legítimos para hacerlo», afirma el informe. «Sin embargo, cuando las empresas legítimas de publicidad en línea se encuentran en el corazón de un esquema, conectando a los actores de amenazas y permitiendo la distribución de contenido malicioso en todo el mundo, no podemos evitar preguntarnos: ¿es la industria de la publicidad en línea responsable de la seguridad del público?»

Otros proveedores de seguridad han notado que la publicidad maliciosa y adware los planes están evolucionando y son cada vez más preocupantes para las empresas. Malwarebytes ‘ Informe «Tácticas y técnicas de la ciberdelincuencia» para el tercer trimestre de 2018, por ejemplo, señaló que las detecciones de adware aumentaron un 15% para las empresas y disminuyeron un 19% para los consumidores. Además, el informe señaló un aumento en nuevas técnicas como el adware disfrazado de aplicaciones legítimas y extensiones de navegador para bloqueadores de anuncios y herramientas de privacidad, entre otras cosas.

La trampa 22 de publicidad maliciosa

La situación ha dejado tanto a las redes publicitarias en línea como a los proveedores de seguridad en un juego interminable de whack-a-mole. Las empresas publicitarias con frecuencia se ven escrutadas por proveedores de seguridad como Check Point en informes sobre campañas de publicidad maliciosa. Las empresas publicitarias normalmente niegan cualquier conocimiento o participación directa en la actividad maliciosa mientras eliminan los anuncios y editores ofensivos de sus redes. Sin embargo, muchas de esas mismas redes publicitarias terminan inevitablemente en informes posteriores de proveedores con diferentes actores de amenazas y malware, emitiendo negaciones y garantías familiares.

Mientras tanto, los proveedores de seguridad quedan en un aprieto: si prohíben los servidores y dominios de las redes publicitarias en sus productos antimalware o de seguridad de red, bloquean efectivamente todos los anuncios que provienen de infractores reincidentes, no solo los maliciosos, lo que también perjudica a los editores legítimos. como todo el ecosistema de publicidad digital. Pero si los proveedores no instituyen tales prohibiciones, se quedan reprimiendo cada nueva campaña y emitiendo críticas severas a las redes publicitarias.

Ese ciclo familiar se mostró con Master134; Luego de la publicación del informe de Check Point el 30 de julio, tres de las compañías de publicidad en línea – Adsterra, ExoClick y AdKernel – rechazaron el informe de Check Point y negaron rotundamente que estuvieran involucradas en el esquema Master134 (EvoLeads y AdventureFeeds no comentaron públicamente en el informe Master134). Las empresas afirmaron que son empresas líderes en generación de tráfico y publicidad en línea y que no participaron directamente en ninguna actividad ilegítima o maliciosa.

Master134 Adsterra AdKernel ExoClick
Cómo funcionó la campaña Master134.

Check Point revisó el informe el 1 de agosto y eliminó todas las referencias a una de las empresas, AdKernel LLC, con sede en Nueva York, que había argumentado que el informe contenía información falsa. El informe original de Check Point atribuyó incorrectamente dos dominios de redirección clave (xml.bikinisgroup.com y xml.junnify.com) a la empresa de publicidad en línea. Como resultado, varios medios de comunicación, incluido SearchSecurity, revisaron o actualizaron sus artículos sobre Master134 para aclarar o eliminar por completo las referencias a AdKernel.

Pero persistieron las preguntas sobre la campaña Master134. ¿Quién estaba detrás de los dominios bikinisgroup y junnify? ¿Cuál fue el papel de AdKernel en el asunto? Y lo más importante: ¿cómo pudieron los actores de amenazas coordinar cantidades sustanciales de tráfico de WordPress secuestrado a través de varias redes y capas diferentes del ecosistema publicitario en línea y asegurarse de que siempre terminara en un grupo selecto de sitios de kits de explotación?

Una investigación de siete meses sobre la campaña reveló patrones de actividad sospechosa y conducta cuestionable entre varias redes publicitarias, incluido AdKernel. SearchSecurity también encontró información que implica a otras compañías de publicidad en línea, lo que demuestra cuán persistentes y omnipresentes son las amenazas de publicidad maliciosa en el ecosistema de Internet.

Lea la segunda parte de nuestra serie de seis partes sobre la campaña Master134 y las amenazas de publicidad maliciosa.

También te puede interesar...

La guerra por la supremacía del desarrollo de iOS

Los desarrolladores que crean aplicaciones iOS tienen acceso a una gran cantidad de herramientas, marcos y bibliotecas. Sin embargo, cuando se trata de idiomas, muchos todavía se encuentran atrapados al elegir entre dos idiomas: Objective-C

¿Qué es VeriChip? – Definición de Krypton Solid

VeriChip es un chip de identificación inyectable que se puede insertar debajo de la piel de un ser humano para proporcionar verificación biométrica. VeriChip, fabricado por Applied Digital Solutions, tiene aproximadamente el tamaño de un

¿Qué son las aplicaciones de Oracle Fusion?

Oracle Fusion Applications es un conjunto integral de aplicaciones de Oracle creadas para tareas comerciales integrales, como la planificación de recursos empresariales (ERP), la gestión de relaciones con los clientes (CRM) y la gestión del

¿Qué es la gestión de procesos de negocio (BPM)?

¿Qué es la gestión de procesos de negocio (BPM)? La gestión de procesos de negocio (BPM) es la disciplina de mejorar un proceso de negocio de punta a punta analizándolo, modelando cómo funciona en diferentes

¿Qué es la autenticación de usuario?

¿Qué es la autenticación de usuario? La autenticación de usuario verifica la identidad de un usuario que intenta obtener acceso a una red o recurso informático al autorizar una transferencia de credenciales de persona a

La plataforma HPE HCI lleva el camino de AMD a Roma

Una actualización oportuna de Hewlett Packard Enterprise tiene como objetivo equipar a los clientes cuyos empleados se ven obligados a trabajar desde casa. HPE mejoró los sistemas de infraestructura hiperconvergente HPE SimpliVity 325 para admitir

La hoja de referencia del cmdlet de Power BI-PowerShell

Las características de administración de Power BI están disponibles en el portal de administración de la herramienta, oa través de Office 365, Azure Active Directory, API administrativas y SDK, o cmdlets de PowerShell. Los administradores

DNC renueva preocupaciones sobre piratería electoral

Escuche este podcast El podcast Risk & Repeat de esta semana analiza las afirmaciones del Comité Nacional Demócrata de que los piratas informáticos rusos intentaron violar su red después de las elecciones de mitad de

Registros de procesamiento de corral para Snort

Aunque Barnyard tenía seis complementos de salida configurados, solo los complementos de alerta estaban activos. Barnyard estaba procesando un archivo snort.alert.TIMESTAMP, por lo que se ignoró el archivo snort.log.TIMESTAMP. Ahora le decimos a Barnyard que

¿Qué es NHIN Direct?

NHIN Direct es un proyecto desarrollado por la Red Nacional de Información de Salud que tiene como objetivo permitir el intercambio seguro de información de salud (HIE) a través de Internet para médicos de atención

Tres formas de construir un sistema de big data

Este es un extracto del Capítulo 10, «Hacer negocios en un mundo de Big Data», del libro de Dale Neef. Escape digital: lo que todo el mundo debería saber sobre Big Data, digitalización e innovación

¿Qué es el software social empresarial?

Software social empresarial (ESS) es un término general que describe las herramientas de colaboración y redes sociales utilizadas en grandes organizaciones. El software social empresarial incluye intranets corporativas y otras plataformas de software destinadas a

Bajo el capó de la plataforma ALM de VersionOne

VersionOne Enterprise Agile Platform es una plataforma de gestión del ciclo de vida de las aplicaciones (ALM) para organizaciones que van desde pequeñas y medianas empresas (PYMES) hasta empresas de gran escala. VersionOne Inc. proporciona

Bastille Linux: Introducción e instalación

Fortalecer sus hosts Linux no tiene por qué ser un proceso difícil, si puede utilizar una herramienta de seguridad automatizada como Bastille Linux. Bastille cubre una amplia variedad de plataformas y distribuciones, lo que lo

Dell lanza 7 PC para CAD, diseñadores gráficos

Dell lanzó dos estaciones de trabajo Precision de nivel de entrada creadas para diseñadores que necesitan mucha potencia de procesamiento. El compacto Precision 3450 y el Precision 3650 en torre son para edición de video,

Descripción de las características de VMware ESXi

VMware ESXi Server es el hipervisor bare-metal gratuito de VMware. Es el mismo hipervisor que se usa en la solución de virtualización de clase empresarial de VMware, vSphere, pero en una versión gratuita reducida. A

¿Qué es la gestión de información empresarial (EIM)?

La gestión de información empresarial (EIM) es un conjunto de procesos, disciplinas y prácticas comerciales que se utilizan para gestionar la información creada a partir de los datos de una organización. Las iniciativas de EIM

¿Qué es Apple iPad Pro?

El Apple iPad Pro es una tableta PC con pantalla táctil de 12,9 pulgadas que es más grande y ofrece una resolución más alta que los otros modelos de iPad de Apple. El iPad Pro

Movilidad empresarial: qué esperar en 2018

El nuevo año está sobre nosotros, ¿sabe qué esperar de la movilidad empresarial? Como líderes de la industria, es nuestra responsabilidad consultar con expertos en la materia y analistas para saber qué tendencias de movilidad

Elección de los jueces: ganador de Startup Spotlight 2020

Fuente: VectorMine/Adobe Stock Diseñador: Megan Wilcox Los jueces no aceptaron nominaciones para la categoría Startup Spotlight. En cambio, los jueces consideraron una variedad de nuevas empresas asociadas con la conferencia VMworld 2020 y seleccionaron una

Aspectos clave de RPA en la nube

La automatización de procesos robóticos comenzó como una forma más eficiente de escribir macros en computadoras de escritorio. Sin embargo, muchas empresas tuvieron dificultades para escalarlo más allá de unos pocos robots de software llamados

¿Qué es la transcripción médica (MT)?

La transcripción médica (MT) es el procesamiento manual de informes de voz dictados por médicos y otros profesionales de la salud en formato de texto. Los proveedores de atención médica graban sus notas por voz

Usuarios, expertos hablan sobre las herramientas DCIM

Las empresas que ofrecen herramientas DCIM las posicionan como esenciales, prometiendo una visión holística del desempeño de un centro de datos. El mercado DCIM pasó de volátil a bastante estancado, aunque una compra entre dos

Deja un comentario