Identifican una campaña de publicidad maliciosa en sitios web de descargas más populares de España
Las páginas web se financian gracias a la publicidad. A su vez, la publicidad que se muestra en las diferentes páginas web mientras navegamos por ellas generalmente no es gestionada por el administrador, sino que son terceras empresas y plataformas especializadas en brindar este tipo de contenido a las webs interesadas, quienes se configuran dentro del frontend de la web en cuestión para mostrar los banners y anuncios publicitarios a los visitantes.
Aunque estas empresas de publicidad suelen ser fiables, es posible que sus plataformas se vean comprometidas y pierdan el control sobre el contenido que distribuyen, llegando incluso a comprometer la seguridad y privacidad de sus visitantes. Esto es lo que ha ocurrido con varias de las páginas web españolas de mayor afluencia relacionadas con las descargas de archivos.
Investigadores de seguridad de Malwarebytes afirman que una campaña publicitaria con fines maliciosos ha estado presente en estos sitios web de descargas durante más de una semana hasta que ha sido identificara y bloqueada en las webs. Algunas de las páginas afectadas por esta campaña (cuyos nombres empiezan por «d», «e» y «m») tienen más de 24 millones de visitas mensuales, por lo que el público potencial a caer víctima de estos piratas informáticos es considerable.
Los piratas informáticos responsables de dicha campaña publicitaria utilizaron diferentes técnicas para poder llevarla a cabo. Una de las razones por las que este ataque ha estado tanto tiempo presente en las webs y pasó desapercibido fue que la plataforma publicitaria utilizada, publited, había sido comprometida y estaba entregando las redirecciones de la publicidad de forma maliciosa haciendo uso de iframes, una práctica poco frecuente pero más peligrosa y complicada de identificar.
Los piratas informáticos responsables del ataque fueron capaces de inyectar el contenido malicioso de forma dinámica dentro de la propia publicidad basada en ciertas condiciones, por ejemplo, que solo algunos tipos de usuario recibirán el iframe e incluso que este se envía en determinados momentos del día (momentos de mayor número de usuarios o cuando la atención frente a este tipo de sospechas es menor).
Un análisis en profundidad de la campaña maliciosa ha demostrado que, igual que en campañas similares, los piratas informáticos se han centrado principalmente en la distribución de exploits con los que tomar el control de los sistemas de las víctimas aprovechando fallos en el sistema operativo y en el software de este, sin embargo, durante esta campaña maliciosa en particular se han distribuido también otras piezas de software malicioso más peligrosas como ransomware o troyanos bancarios.
Tener el control sobre un servidor de publicidad es una mina de oro para los piratas informáticos. Este control suele conseguirse por lo general mediante terminales remotos (utilizando credenciales poco seguros) y a través de puertas traseras instaladas en dichos servidores. Una vez que los piratas tienen el control sobre el servidor pueden empezar a inyectar su propia publicidad en los anuncios, los cuales llegan a los usuarios a través de las páginas que visitan sin que estas hayan tenido que verse comprometidas.
Según afirma Malwarebytes, desde Publited ya han abordado y solucionado el problema, sin embargo, recomiendan a los usuarios seguir prestando atención a los contenidos para evitar caer en posibles nuevas campañas de distribución de malware similares a esta.
¿Alguna vez te has encontrado alguna campaña publicitaria en una web que descargue malware en los ordenadores?
Quizá te interese:
- Distribuyen malware a través de la publicidad de páginas web para adultos
- Detectan publicidad en Internet relacionada con Cryptowall Ransomware