Malvertising, la nueva amenaza - El Diario Del Otún - Septiembre 26 2014

La práctica de insertar malware en publicidad ya es conocida desde hace muchos años atrás, pero  por estas semanas, el término malvertising, que significa publicidad maliciosa, llegó a los titulares de las noticias tecnológicas. 

Luego de los recientes controles y a una mayor prevención de los usuarios, los atacantes  se han ingeniado nuevas formas de ataque a espacios menos protegidos  donde los usuarios no se lo esperan, especialmente en la publicidad.

 

Al hablar de códigos maliciosos insertados en publicidades, tal vez se les venga a la cabeza el viejo y  molesto aviso sobre las páginas, Adware. Para entender un poco mejor la diferencia entre este último y el malvertising, que tampoco es algo nuevo es un programa que no suele ser malicioso en cuanto a causar daños en el equipo del usuario. El término en si mismo viene de las palabras “advertisement” (del inglés “anuncio”) y software.

 

Normalmente es instalado sin el conocimiento del usuario y ejemplos clásicos son las barras de herramientas que contienen anuncios que surgen “de la nada”  y que usualmente se instalan en nuestro equipo de forma escondida mientras estamos instalando un software que realmente sí lo necesitamos.

 

Malvertising

Es un programa malicioso que se oculta en publicidades en páginas de terceros. Actualmente no hace falta que un usuario descargue ni haga clic en un anuncio para ser infectado, basta con tener plugins o software desactualizados y no contar con una solución de seguridad, o visitar una página infectada. Si un atacante tiene acceso a los datos de navegación de la víctima, lo que suele ser posible, tratará de explotar eventuales vulnerabilidades en su equipo.

 

Muchos casos de malvertising han sido reportados recientemente; han resultado infectados usuarios que visitan sitios como Youtube, Amazon, Yahoo, entre otros. La empresa de seguridad de la información Cisco detalla en su blog toda la operación de esta modalidad, que tiene el potencial de atacar millones de usuarios que utilizan las plataformas Windows y Mac OS X con malware avanzado que además cuenta con la capacidad de mutar.

 

Quizás la modalidad más novedosa y peligrosa en el creciente mercado de malvertising es el real-time bidding subasta en tiempo real, proceso en el cual la información del usuario es ofrecida a múltiples empresas de publicidad, que hacen sus ofertas según el perfil del entorno. Los atacantes suelen ofertar valores más altos y, por ende, tener mejores probabilidades de realizar el engaño.

 

El ataque 

Luego de la visita de un usuario a un sitio conocido, como Yahoo o Google entre otros, que alquilan partes de sus páginas a empresas de publicidad, las cuales cuelgan sus avisos, mucha de esta información sobre el usuario es revelada al sitio, como su ubicación geográfica, el navegador que utiliza y sus plugins, versión de software instalado, además de dirección IP, dirección MAC, y demás.

 

Hasta este momento no vemos nada fuera de la normalidad: este es el funcionamiento de internet propiamente dicho en la actualidad. Los problemas arrancan con los próximos pasos, que definen el funcionamiento del malvertising moderno: 

 

Las empresas de publicidad venden los datos de los usuarios a otras empresas, para que las mismas puedan crear más publicidad, basada en los gustos y entornos del usuario. 

Las demás empresas, las maliciosas en este caso, son de hecho, atacantes que logran inyectar malware en la publicidad, sin el conocimiento de la empresa de publicidad, del sitio, ni mucho menos del usuario. Sin hacer clic en ningún enlace, solamente visitar la página, el atacante busca vulnerabilidades en los plugins del navegador y software instalado, y al encontrarlas, instala el malware sin que el usuario se dé cuenta. 

 

Consejos

Evitar instalar plugins, a menos que sean absolutamente necesarios.

Leer los permisos requeridos por los plugins antes de instalarlos

Habilitar la función click-to-play, disponible para todos los navegadores, de forma que antes de ejecutar cualquier plugin, el usuario debe permitir dicha ejecución.

Tener un software de seguridad instalado y actualizado.

Proteger las configuraciones avanzadas del software de seguridad con contraseñas robustas.

Instalar siempre la última versión del navegador utilizado para acceder a internet

Actualizar siempre programas como Java o Adobe, desde sus sitios identificados como  oficiales.