Campañas de publicidad maliciosa ahora utilizan técnicas de Fingerprinting



Los ciberdelincuentes están ahora utilizando técnicas Fingerprinting en sus campañas de publicidad maliciosa, han informado los investigadores de las empresas de seguridad Malwarebytes y GeoEdge.

Fingerprinting es una técnica de evasión en el que el delincuente, a través de fragmentos de código, comprueba si la máquina objetivo es un sistema controlado por investigadores de malware (honeypot) o una máquina real que pertenece a una víctima potencial.

"Durante muchos años, los ciberdelincuentes han aprovechado la industria de la publicidad para entregar cargas maliciosas de manera muy eficiente. Sin embargo, la mayoría de los ataques Malvertising por lo general tienden a ser descubierta desde el inicio y frustrando, por lo tanto, la cantidad de trabajo necesario para poner en funcionamiento otros nuevos ataques constantemente", dijo Jérôme Segura, investigador senior de seguridad de Malwarebytes.


Hasta ahora, esta técnica sólo fue vista un exploit kit de nivel, sobre todo en el Kit Angler, pero ahora esto se ha movido "en la cadena", como dicen los investigadores, llegando a la fase de publicidad maliciosa, gracias a los anuncios en línea.

"Este fallo permite a los atacantes enumerar el sistema de archivos local y buscar la presencia de ciertas pistas que podrían identificar a una máquina que pertenece a un investigador de seguridad o que está actuando como una honeypot", escribieron en su informe los investigadores Jerome Segura de Malwarebytes, y Eugene Aseev de GeoEdge titulado Operación Fingerprinting. Ahora, los anunciantes falsos están analizando a sus posibles víctimas.

El informe sugiere que hay cuatro tipos de posibles campañas, incluyendo la campaña "empresa fantasma" (los atacantes utilizan sitios web robados, cambiando un poco el nombre para parecer legítimos), la campaña de certificados SSL (aprovecha la infraestructura de CloudFlare para ocultar la IP del servidor malicioso), la campaña URL acortador personalizado (ocultando la carga útil dentro de huellas digitales en una imagen GIF a través de HTTPS), y la campaña DoubleClick Open Referrer (el código está todavía oculto dentro de un archivo GIF, pero ahora está codificado con una clave especial, que sólo se realiza una vez por cada dirección IP) .

"Tomando prestado las técnicas de los creadores de kits exploits, los anunciantes sin escrúpulos preseleccionan a sus víctimas potenciales a través de una vulnerabilidad de divulgación de información en Internet Explorer que les permite comprobar la presencia de ciertos archivos en el disco que pertenecen al software de seguridad, herramientas de tráfico de red y máquinas virtuales. Esto se hace simplemente mediante la inserción de una pieza de código oculto en el último lugar que cabría esperar, dentro de un programa de seguimiento de píxeles GIF inocua que es utilizado por la industria de la publicidad ", agregó Segura.

La vulnerabilidad parece tener como objetivo a los usuarios de Internet Explorer 10, señalaron los investigadores. También dieron consejos sobre cómo mantenerse a salvo de estas amenazas potenciales:

Para defenderse de la publicidad maliciosa, los usuarios deben mantener sus equipos actualizados y desinstalar cualquier pieza de software que ya no usen o que lo hagan pocas veces con el fin de reducir la superficie de ataque. Por ejemplo, los plugins del navegador como Flash o Silverlight han sido muy explotados en los últimos meses y se les recomienda a los usuarios decidir desactivarlos o eliminarlos.

Dado que la mejor postura de seguridad es aquella que tiene capas, también es una buena práctica ejecutar herramientas adicionales para defenderse de los ataques en diferentes niveles. Cuando se trata de ataques drive-by download tales como publicidad maliciosa, utilizar software de mitigación de vulnerabilidades es particularmente eficaz, así como otros programas que restrinjan JavaScript o banners de publicidad con la capacidad del que usuario decida.



Fuente: BetaNews