Malvertising, ¿la evolución del adware?

La práctica de insertar malware en publicidad ya es conocida desde hace muchos años, pero el término malvertising (publicidad maliciosa) estuvo sonando en las noticias en las últimas semanas. Sucede que con el reciente operativo de gobiernos y grandes empresas contra las botnets y con usuarios más atentos a las campañas de phishing, los atacantes migraron su atención a vectores menos protegidos.

Al hablar de códigos maliciosos insertados en publicidades, tal vez se les venga a la cabeza el viejo y conocido adware. Para entender un poco mejor la diferencia entre este último y el malvertising (que tampoco es algo nuevo: fue algo novedoso en 2007) veamos las definiciones:

Adware

Programa que no suele ser malicioso en cuanto a causar daños en el equipo del usuario. El término en sí mismo viene de las palabras “advertisement” (del inglés “anuncio”) y software.

Normalmente es instalado sin el conocimiento del usuario y ejemplos clásicos son las toolbars (barras de herramientas) que contienen anuncios que surgen “de la nada” (de hecho son descargadas en los paquetes de instalación de distintos software) y son muy difíciles de remover sin una solución de seguridad. Es interesante mencionar que muchas veces el usuario tiene la opción de descargar o no dichas herramientas.

Malvertising

Programa malicioso que se oculta en publicidades en páginas de terceros. Actualmente no hace falta que un usuario descargue ni haga clic en un anuncio para ser infectado, basta con tener plugins software desactualizados (y no contar con una solución de seguridad), y visitar una página infectada.

Si un atacante tiene acceso a los datos de navegación de la víctima, lo que suele ser posible, tratará de explotar eventuales vulnerabilidades en su equipo.

Muchos casos de malvertising han sido reportados recientemente; uno de los más resonantes, de la red conocida como “Kyle and Stan”, afecta usuarios que visitan sitios como YoutubeAmazon y Yahoo, entre otros. La empresa de seguridad de la información Cisco detalla en su blog toda la operación, que tiene el potencial de atacar millones de usuarios que utilizan las plataformas Windows y Mac OS X con malware avanzado que además cuenta con la capacidad de mutar.

Quizás la modalidad más novedosa (y peligrosa) en el creciente mercado de malvertising es el real-time bidding (subasta en tiempo real), proceso en el cual la información del usuario es ofrecida a múltiples empresas de publicidad, que hacen sus ofertas según el perfil del entorno. Los atacantes suelen ofertar valores más altos y, por ende, tener mejores probabilidades de realizar el engaño.

Un típico ataque de malware, versus un típico caso de malvertising

Típicamente, un ataque de malware sigue el siguiente patrón:

  • Un usuario visita un sitio conocido, como Yahoo o Google entre otros, que “alquilan” partes de sus páginas a empresas de publicidad, las cuales “cuelgan” sus ads (avisos).
  • Mucha información sobre el usuario es revelada al sitio, como su ubicación geográfica, el navegador que utiliza y sus plugins, versión de software instalado (Java, Adobe), además de dirección IP, dirección MAC, y demás.
  • La información del visitante, a través de JavaScript, también puede ser visualizada por la empresa de publicidad.

Hasta este momento no vemos nada fuera de la normalidad: este es el funcionamiento de Internet propiamente dicho en la actualidad. Los problemas arrancan con los próximos pasos, que definen el funcionamiento del malvertising moderno:

  • Las empresas de publicidad venden los datos de los usuarios a otras empresas, para que las mismas puedan crear más publicidad, basada en los gustos y entornos del usuario.
  • Las “otras empresas” muchas veces son, de hecho, atacantes que logran inyectar malware en la publicidad, sin el conocimiento de la empresa de publicidad, del sitio, ni mucho menos del usuario.
  • Sin hacer clic en ningún enlace (con tan simplemente visitar la página), el atacante busca vulnerabilidades (en los plugins del navegador y software instalado), y al encontrarlas, instala el malware sin que el usuario se dé cuenta (si no las encuentra, nada ocurre).

Ahora bien, muchos usuarios también están al tanto de vulnerabilidades en navegadores, así que evitan instalar plugins; pero ya han sido encontrados ataques de malvertising que utilizan las mismas técnicas definidas anteriormente, pero en ads de aplicaciones como Skype.

Consejos para evitar ser víctimas de malvertising

  • Evitar instalar plugins, a menos que sean absolutamente necesarios.
  • Leer los permisos requeridos por los plugins antes de instalarlos.
  • Habilitar la función “click-to-play”, disponible para todos los navegadores, de forma que antes de ejecutar cualquier plugin, el usuario debe permitir dicha ejecución.
  • Tener un software de seguridad instalado y actualizado.
  • Proteger las configuraciones avanzadas del software de seguridad con contraseñas robustas.
  • Instalar siempre la última versión del navegador o browser utilizado para acceder a Internet.
  • Actualizar siempre programas como Java o Adobe, desde sus sitios oficiales.

Autor Ilya Lopes, ESET

Seguridad

10 buenas prácticas con las que tu amigo techie te puede ayudar

Para nosotros, un techie es una persona con profundo interés en la tecnología y su funcionamiento como parte de la vida. Dentro de esta categoría no solo pueden entrar los fanáticos de los gadgets, sino también gente que trabaja en TI y soporte de infraestructuras, o técnicos de PC, por ejemplo. En suma, los techies […]

Read More
Seguridad

Herramientas gratuitas para fortalecer tu privacidad en Internet

Seguramente en reiteradas ocasiones has escuchado hablar de la privacidad en línea, pero más allá de las alternativas más comunes como un navegador incógnito, ¿te has puesto a pensar cuál es tu expectativa de privacidad? ¿Qué tanto la proteges en realidad? A raíz de la encuesta sobre privacidad en Internet que desde ESET Latinoamérica elaboraron el mes pasado, […]

Read More
Seguridad

Seguridad empresarial más efectiva

Según Gartner, las herramientas de defensa tradicionales fallan en proteger a las empresas de ataques focalizados y malware avanzado. En 2013, las empresas gastarán más de US$ 13.000 millones en firewalls, sistemas de detección de intrusiones (IPSs), plataformas de protección de terminales y gateways de Web seguros. Con todo, los ataques focalizados avanzados (advanced targeted […]

Read More
Verificado por MonsterInsights