Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

15/09/2014

Malvertising, l’evolució de l’adware?

La pràctica d’inserir programari maliciós en publicitat ja és coneguda des de fa molts anys, però el terme malvertising (publicitat maliciosa) va estar sonant en les notícies en les últimes setmanes.

Succeïx que amb el recent operatiu de governs i grans empreses contra les xarxes de zombis i amb usuaris més atents a les campanyes de Phishing, els atacants van migrar la seua atenció a vectors menys protegits.

En parlar de codis maliciosos inserits en publicitat, tal vegada vos vinga a la ment el vell i conegut programari de publicitat (adware). Per a entendre un poc millor la diferència entre este últim i el malvertising –que tampoc és una cosa nova ja que va ser una notícia nova en 2007–, vegem les definicions:

Programari de publicitat (adware)

Programa que no sol ser maliciós quant a causar danys en l’equip de l’usuari. El terme en si mateix ve de les paraules advertisement (de l’anglés anunci) i programari.

Normalment és instal·lat sense el coneixement de l’usuari i exemples clàssics són les toolbars (barres de ferramentes) que contenen anuncis que sorgixen “del no-res” –de fet són descarregades en els paquets d’instal·lació de distints programaris– i són molt difícils de remoure sense una solució de seguretat. És interessant mencionar que moltes vegades l’usuari té l’opció de descarregar o no estes ferramentes.

Malvertising

Programa maliciós que s’oculta en publicitats en pàgines de tercers. Actualment no cal que un usuari descarregue ni faça clic en un anunci per a ser infectat, n’hi ha prou amb tindre connectors (plugins) o programaris desactualitzats (i no disposar d'una solució de seguretat), i visitar una pàgina infectada.

Si un atacant té accés a les dades de navegació de la víctima, possiblement tractarà d’explotar eventuals vulnerabilitats en el seu equip.

Molts casos de malvertising han sigut reportats recentment; un dels més ressonants, de la xarxa coneguda com Kyle and Stan, afecta usuaris que visiten llocs com Youtube, Amazon i Yahoo, entre altres. L’empresa de seguretat de la informació Cisco detalla en el seu blog tota l’operació, que té el potencial d’atacar milions d’usuaris que utilitzen les plataformes Windows i Mac OS X amb programari maliciós avançat que, a més, disposa de la capacitat de mutar.

Potser la modalitat més nova (i perillosa) en el creixent mercat de malvertising és el real-time bidding (subhasta en temps real), procés en el qual la informació de l’usuari és oferida a múltiples empreses de publicitat que fan les seues ofertes segons el perfil de l’entorn. Els atacants solen oferir valors més alts i, per tant, tindre millors probabilitats de realitzar l’engany.

Un típic atac de programari maliciós, versus un típic cas de malvertising

Típicament, un atac de programari maliciós seguix el patró següent:

• Un usuari visita un lloc conegut, com ara Yahoo o Google entre altres, que “lloguen” parts de les seues pàgines a empreses de publicitat, les quals “pengen” els seus ads (avisos).

• Molta informació sobre l’usuari és revelada al lloc, com ara la seua ubicació geogràfica, el navegador que utilitza i els seus connectors, versió de programari instal·lat (Java, Adobe), a més de l'adreça IP, l'adreça MAC, i d'altres.

• La informació del visitant, a través de JavaScript, també pot ser visualitzada per l’empresa de publicitat.

Fins a eixe moment no veiem res fora de la normalitat: este és el funcionament d’Internet pròpiament dit en l’actualitat. Els problemes estan amb els pròxims passos, que definixen el funcionament del malvertising modern:

• Les empreses de publicitat venen les dades dels usuaris a altres empreses, perquè estes puguen crear més publicitat, basada en els gustos i els entorns de l’usuari.

• Les “altres empreses” moltes vegades són, de fet, atacants, que aconseguixen injectar programari maliciós en la publicitat, sense el coneixement de l’empresa de publicitat, del lloc, ni de bon tros de l’usuari.

• Sense fer clic en cap enllaç (simplement amb visitar la pàgina), l’atacant busca vulnerabilitats (en els connectors del navegador i el programari instal·lat), i, quan les troba, instal·la el programari maliciós sense que l’usuari se n'adone (si no les troba, no passa res).

Ara bé, molts usuaris també estan al corrent de vulnerabilitats en navegadors, així que eviten instal·lar connectors; però ja han sigut trobats atacs de malvertising que utilitzen les mateixes tècniques definides anteriorment, però en ads d’aplicacions com Skype.

Consells per a evitar ser víctimes de malvertising

• Evitar instal·lar connectors, llevat que siguen absolutament necessaris.

• Llegir els permisos requerits pels connectors abans d’instal·lar-los.

• Habilitar la funció click-to-play, disponible per a tots els navegadors, de manera que abans d’executar qualsevol connector, l’usuari ha de permetre esta execució.

• Tindre un programari de seguretat instal·lat i actualitzat.

• Protegir les configuracions avançades del programari de seguretat amb contrasenyes robustes.

• Instal·lar sempre l’última versió del navegador utilitzat per a accedir a Internet.

• Actualitzar sempre programes com Java o Adobe, des dels seus llocs oficials.

CSIRT-CV