Un conjunto de amenazas persistentes avanzadas (APT por sus siglas en inglés) utilizan publicidad maliciosa para comprometer las redes corporativas y gubernamentales de sus adversarios.

Dicha situación muestra que atacantes especializados bajo le mando de entidades gubernamentales han comenzado a utilizar técnicas y métodos empleados comúnmente por delincuentes informáticos menos sofisticados debido a que han demostrado ser efectivas. Además, este grupo de APT aprovecha una forma de colocación de publicidad en sitios web conocida como real time ad-bidding (se realiza una especie de subasta y el ganador coloca su anuncio en algún sitio web, esto se hace como estrategia publicitaria para dar mayor difusión a ciertos anuncios y productos).

En un reporte publicado el 17 de octubre pasado, Invincea, una empresa dedicada a soluciones de seguridad de la información, menciona que una de sus investigaciones reveló la existencia de una APT auspiciada por el Estado denominada "Operation DeathClick". La compañía afirma que contuvieron el ataque y que, por lo tanto, no fueron capaces de determinar información importante respecto al responsable detrás de esta amenaza. Sin embargo el ataque es novedoso por la forma en que implementa una nueva y agresiva campaña de publicidad maliciosa.

Al realizar ataques a través de anuncios maliciosos, los criminales comprometen una red de publicidad en línea para acolocar elementos que redirijan tantos usuarios como sea posible a sitios de terceros que contienen exploits y malware que son empleados para comprometer equipos de cómputo. Existen ciertos casos en donde las redes de publicidad actúan por sí mismas y propagan estos anuncios maliciosos.

La principal característica de la operación DeathClick es que la publicidad maliciosa dirigida al objetivo es bastante precisa y se genera con base en una larga lista de características, incluyendo cadenas del agente de usuario (user-agent), versiones de Flash, sistema operativo, versión de Java y navegador, intereses y sitios más visitados con base en la información proporcionada por las cookies, ubicación geográfica y direcciones IP.

Los atacantes emplean una técnica conocida como real-time ad-bidding para posicionar de mejor manera la publicidad maliciosa, esta técnica es un proceso mecanizado para la colocación de anuncios de corto plazo en sitios web. Tiene su origen en el mundo de las finanzas y consiste en que, a manera de subasta, los compradores ofertan para colocar su anuncio en sitios que están recibiendo gran porcentaje de clics en tiempo real.

El objetivo es posicionar publicidad en un sitio que está bajo una gran carga de tráfico en ese momento.

La operación DeathClick es únicamente una parte de la publicación realizada por Invincea, donde se menciona "los atacantes redirigen a las víctimas a través de anuncios por cortos periodos de tiempo, luego abandonan el sitio y su kit de exploits para siempre, lo que provoca que la detección basada en listas de amenazas se vuelva ineficaz. Los dominios utilizados no aparecen en listas negras y el malware siempre presenta diferentes identificadores evitando la tecnología tradicional para la detección de amenazas".

Para ocultar aún más sus actividades maliciosas, varios atacantes colocan anuncios válidos e inofensivos la mayoría de las veces.