Publicidad adulterada, a gran escala

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

Investigadores han demostrado cómo los delincuentes están utilizando un nuevo y complejo método para abusar de la infraestructura digital de la industria de la publicidad en línea para propagar malware a millones de internautas en todo el mundo.

Esto es largamente conocido como ‘publicidad maliciosa’ y, en este caso, comenzó con el compromiso de miles de sitios web de WordPress, involucra a varias partes en la cadena de publicidad en línea, y termina con la distribución de malware a los usuarios de la web a nivel mundial.

La industria de la publicidad en línea se basa en tres elementos principales:

1) Anunciantes que desean promocionar sus productos o contenido.

2) Editores que asignan espacio en su sitio web y lo venden a los anunciantes.

3) Redes publicitarias que pujan por comprar espacio publicitario y conectan anunciantes con editores.

Estas compañías trabajan con Ad-Networks para revender el tráfico que Ad-Networks recaba de los editores en otros anunciantes.

La campaña de publicidad descubierta revela una asociación inquietante entre un actor de amenazas disfrazado de editor y varios revendedores legítimos que aprovechan esta relación para distribuir una variedad de malware, incluidos troyanos bancarios, ransomware y bots.

El cibercriminal redirigió el tráfico robado de más de 10.000 sitios de WordPress pirateados y lo vendió a AdsTerra, la plataforma publicitaria de pujas en tiempo real (RTB), que luego lo vendió a revendedores (ExoClick, AdKernel, EvoLeads y AdventureFeeds).

Estos revendedores pasarían este tráfico al ‘Anunciante’ de mayor oferta. Sin embargo, en lugar de que el anunciante sea una compañía legítima que vende productos reales, estos “anunciantes” eran delincuentes que buscaban distribuir ransomware, troyanos bancarios, bots y otro malware.

De esta manera, los ciberdelincuentes están abusando del ecosistema de publicidad en línea, usándolo para pujar junto a anunciantes legítimos, como Nike o Coca Cola, pero colocando ofertas más altas para que las redes publicitarias seleccionen sus anuncios cargados de malware para mostrar en miles de sitios web de editores en lugar de anuncios limpios y legítimos.

 

 

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris