¿Cómo funciona una red rogue de anuncios?



Es un hecho bien conocido que una parte considerable del tráfico de Internet es falsa, hecho por los ordenadores infectados que visitan sitios y hacen clic en anuncios elegidos por los cibercriminales.

Los investigadores de Malwarebytes' recientemente han analizado el funcionamiento de una red de anuncios que obviamente ha sido creada para ganar dinero por los estafadores de diversas maneras: falsos clics en anuncios y por medio de malware. Los investigadores llaman a este enfoque "doble inmersión."

Esta red de publicidad en particular - Aadserver ("el australiano Ad Sever") - promete la colocación de publicidad de calidad, sin embargo, su sitio web debe levantar la sospecha de ADVERTENCIA: su mala ortografía, parte del texto ha sido copiada de Wikipedia, las cuentas de correo electrónico de sus contactos se ejecutan con proveedores de correo gratuito, etc..

Sin embargo, algunas personas caen en la trampa y pagan para colocar sus anuncios. Desafortunadamente para ellos, estos anuncios serán clicqueados principalmente por los ordenadores infectados y vistos por muy pocos usuarios reales, es decir, estos serán sus «potenciales clientes».

La red de anuncios y los propietarios de los sitios que lo usan ganarán una Comisión por llevar un cliente potencial a su negocio - o por aparentar hacerlo.

Pero los propietarios de la red de anuncios también lo utilizan para propagar malware. A veces es propio, y a veces les pagan para entregar el malware que será utilizada por otros.

Con el fin de llevar a los usuarios hacia el malware, usan anuncios llamativos que contienen código malicioso en javascript que redirige a los usuarios a una página que aloja un kit exploits. El kit intenta detectar las vulnerabilidades en Flash o Silverlight en la computadora del visitante e intentará explotarlas. Si tiene éxito, caerá un binario malicioso.

Por supuesto, que este truco sería fácil de detectar y detener sino fuera por el hecho de que los propietarios de la red de anuncios usan algunas técnicas inteligentes para mantener estas acciones ocultas de los investigadores de seguridad.

Por ejemplo, el código de redirección en el anuncio Flash no es malicioso, por si mismo. Además, la redirección sólo ocurre una vez por dirección IP, haciendo más difícil para los investigadores reproducir el ataque. Por último, también emplean controles que detectan si la computadora del visitante es incompatible con el malware que sirven o si es sólo un depurador que corre en él y no redirigirá al usuario si ese fuera el caso.

"Al final del día, este es otro caso de Farmtown. Este anuncio en particular puede haber sido colocado en varios sitios web, grandes y pequeños y conducirán a varias o mil infecciones," aseguró Segura, y aconseja a los usuarios a protegerse de este tipo de amenazas, deshabilitando Flash o mediante una extensión que bloquee el contenido ejecutable de dominios no confiables o en su conjunto.