Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Malvertising desarrolla fingerprinting para identificar víctimas
La publicidad maliciosa continúa incrementando en importancia y sofisticación. Una de las técnicas más novedosas que se utiliza es la de rastreo e identificación por huella única (fingerprinting), una manera de comprobar las computadoras de las potenciales víctimas con fragmentos de código inyectado directamente en el anuncio.
De acuerdo con un reporte de Malwarebytes titulado Operation Fingerprint, los autores del kit de explotación están utilizando avanzadas "huellas digitales" para preseleccionar y perseguir víctimas específicas sin tener ninguna interacción con el usuario. El código puede descartar rápidamente objetivos que no son viables, como honeypots creados por investigadores de malware para detectar malware o empresas de seguridad que realizan validaciones para verificar los anuncios.
El enfoque permite a los autores del kit de explotación no esperar más por las víctimas, así ellos pueden ahora activamente perseguir sus objetivos mientras evitan ser detectados por los investigadores y compañías antimalware. Y es barato: cuesta sólo 19 centavos de dólar por cada 1000 impresiones (CPM).
"Los autores de malware no necesitan más enviar a los usuarios a un kit de explotación web para comenzar a identificar software y vulnerabilidades de las víctimas", explicó la firma. "Llegan a las víctimas encubiertos, aparecen como un anunciante legítimo en los sitios web populares para precalificar o rastrear por huella a un usuario antes de enviarlos al kit de explotación."
Malwarebytes encontró que, en general, cientos de direcciones URL goo.gl están siendo utilizadas hoy en maliciosas redirecciones de rastreo por huella única, junto con más de 100 dominios de anunciantes falsos y docenas de las redes de anuncios. Alrededor del 42% de las infecciones están relacionadas con anuncios maliciosos en los EE.UU. en el último año.
El ataque de publicidad maliciosa sobre el sitio para adultos xHamster en abril de 2014 fue uno de los primeros en ser visto usando la técnica; este fue redirigido a una página de aterrizaje del kit de exploit Angler para realizar el rastreo por huella única las verificaciones sobre el sistema. Recientemente, la campaña de DoubleClick Open Referer mostró un esfuerzo de técnicas de rastreo e identificación por huella única más avanzados: utiliza imágenes GIF con trampas explosivas que ocultan código, con codificación sobre la marcha; el codificado es con una clave especial, sólo provista una vez por cada dirección IP, y se incrusta en una secuencia de JavaScript. Los nuevos dominios de anunciantes falsos son creados sobre una base regular, muchos de ellos abusan de CloudFlare y Let's Encrypt, y empleo de proxies para el registro de dominios.
"Esto representa el siguiente paso en ataques de publicidad maliciosa, donde los anunciantes falsos están analizando las posibles víctimas o bien muestran un anuncio benigno o un anuncio mezclado con código malicioso que finalmente vuelve a dirigir a un paquete de explotación", señaló Malwarebytes.
