sábado, 14 de mayo de 2016

MALVERTISING, ofertas con veneno




Autor: @RaulRenales

Recientemente he tenido que seguir algunos casos de infecciones y al tener que explicarlos, incluso entre gente entendida en materias de seguridad, me he dado cuenta de lo desconocido que es el Malvertising. Ese es el motivo de que escriba este post.

Malvertising es la técnica por la cual se utilizan los anuncios insertados en las páginas web (Gestionados por adservers) para la infección de los equipos que los visualizan.

He de decir que las plataformas de advertising son un canal estupendo para la propagación de estos anuncios, principalmente por la capacidad de propagar los anuncios a millones de potenciales víctimas con una precisión milimétrica en el filtrado del objetivo, siendo el esfuerzo mínimo y evitando filtros de canales habituales como en los casos del correo electrónico. Otra de las ventajas es que al final los anuncios son incluidos en páginas con gran reputación con lo que normalmente los usuarios aceptan clickar en los anuncios sin muchas precauciones.

Esta técnica esta siendo utilizada por grupos de ciberdelincuentes como medio rápido de propagación de su malware, principalmente utilizando las configuraciones de "Oferta en tiempo real" o "Configuraciones en tiempo real" que algunos de los adservers poseen.

Incluso el sistema puede estar siendo utilizado por algunos Estados/Empresas para inundar el mercado con estos anuncios, incluso afinando los anuncios para conseguir APTs, según evidencio la empresa estadounidense Invincea a lo largo del año 2014 en varios artículos. (Ver)

En las publicaciones de la empresa estadounidense, se dio a conocer como se utilizaban las configuraciones en tiempo real para llegar a usuarios concretos de un área geográfica o empresa con el objetivo de la obtención de información relevante para la empresa o de su producción. El objetivo no era llegar al mayor número posible de víctimas, el objetivo era concretar mucho el grupo de víctimas.

¿Cómo Funciona el Malvertising?

Ejemplo detectado por ESET SmartSecurity


El proceso para el uso de esta técnica puede parecer muy elaborada, pero con la suficiente automatización en los primeros pasos es posible utilizar de manera sencilla esta técnica para llegar a un gran número de personas o incluso para focalizar los ataques sobre un grupo reducido de ellas.

Así se crea una campaña de Malvertising:

Paso 1: Creando una identidad.
Elaborar una buena imagen corporativa de una empresa ficticia con presencia en Internet. Aquí el diseño es vital, un buen diseño puede ayudar mucho a esconder las intenciones de la web. Recordemos que el objetivo no es solo engañar al usuario final, si no que los filtros de los Adservers y moderadores de los mismos revisaran nuestra web y tomaran decisiones sobre si aceptar o no las campañas de adwords. Recordemos que no solo de web viven las empresas, completar con vivos y movidos perfiles de redes sociales puede ayudar en la credibilidad de la empresa ficticia. En este punto lo ideal es no escatimar.

Paso 2: Creando las Landing Pages.
Utilizar landing pages ligadas a la imagen como medio de infección a los usuarios. Inicialmente las landing pages que deseamos utilizar como señuelo no deben ser capaces de infectar a los usuarios, esto nos ayudara a pasar los filtros del adserver. 

Paso 3: Generar las campañas.
Generar las campañas de anuncios en los adservers, elegir bien el objetivo utilizando sus filtros geográficos, por edades, sexo, intereses, etc ... la capacidad de poder afinar es increíble. Incluso se puede llegar a hostigar a los trabajadores de una empresa conociendo la ip publica de la red de su oficina y haciendo unas pocas indagaciones.

Paso 4: Envenenar las Landing pages. 
Tras la activacion de las campañas, no tiene por qué ser inmediato, modificaremos las Landing Pages e incluiremos el exploit que queramos utilizar en cada caso, como os podéis imaginar existen gran variedad de ellos dependiendo de cuál sea nuestro objetivo. Normalmente las Landing Pages infectadas no deben utilizarse más de 2-3 horas con el objetivo de no comprometer las campañas aprobadas por el adserver.

Paso 5: Aumentando la Puja.
Paralelamente a la activacion de las landing pages con los exploits, se debe aumentar la puja por los clicks (real-time bidding), con el objetivo de que el adserver tenga un incentivo para publicar nuestro anuncio en el mayor número de sitios posibles y en las mejores posiciones.

Paso 6:  Revisar efectividad
Con la puja alta en marcha, la campaña en funcionamiento y las landings infectadas, lo único que hay que hacer es esperar los resultados y una vez quemada la efectividad de los anuncios o de las landing pages, se repite el proceso y se inician nuevas campañas.

Extra-Ball: Super Anuncios. 
Existe también la opción de generar anuncios que incrustan piezas de código Html, Javascript o applets de java o insertan flash, estos anuncios pueden servirnos para saltarnos el paso de mandar a los usuarios a las landings pages y realizar ataques del tipo "Drive by Download".


Cómo protegerse de Malvertising


La idea principal de cara a protegernos es entender que este problema es un problema netamente que afecta al navegador web, con lo que debemos revisar y mejorar la seguridad del mismo. La idea es implementar las siguientes medidas:

  • Activar los Click-to-Play Plug-ins: Estos Plugins nos protegen dado que cuando visitemos cualquier página que contenga un objeto Flash o Java, propios de los anuncios de publicidad, éste no se ejecutará de forma automática como ocurre por defecto y por lo tanto con habilitar esta opción estaremos protegidos de gran parte de este tipo de ataques.
  • Uso de herramientas especializadas en la detección. Una de ellas es Malwarebyte Anti-Exploit.
  • Actualizar el navegador siempre.
  • Todos los plugins del navegador deben estar actualizados a la última versión.
  • Desactivar o desinstalar los plugins que no necesitemos y normalmente no utilizamos.
  • Evitar usar versiones de navegadores que no usen sandboxing: El sandboxing es un sistema que permite aislar los contenidos web del resto del equipo, de tal manera que se pueden minimizar los efectos y estudiar los comportamientos que realizan los malwares descargados.

Espero que ahora tengamos algo más de conocimiento sobre este tema ... en próximas entregas hablare de como a través de la configuración de las campañas podemos afinar milimetricamente los targets. Os espero ....

No hay comentarios:

Publicar un comentario