Según la firma de seguridad Malwarebytes, el primer anuncio
publicitario que incluía software malintencionado pudo haberse liberado a
principios de septiembre. Los piratas informáticos han estado llevando a cabo
nuevas campañas de distribución durante estos dos meses, aumentando así el
número de webs infectadas y consiguiendo un mayor número de víctimas
potenciales.
Sistemas de publicidad, responsables de campañas de
distribución de malware
Hasta hace algún tiempo, la publicidad VAST contaba con 3 aspectos que las hacían menos vulnerables a ataques:
- Los vídeos se configuraban en xml, un sistema más seguro y limitado que javascript.
- El proceso de reproducción estaba mucho más controlado.
- Las campañas publicitarias VAST eran más caras que las VPAID actuales.
- Los investigadores de seguridad aseguran que esta nueva forma de distribuir malware se debe al nuevo formato adoptado por los sistemas de publicidad en vídeo VPAID. Este sistema, sucesor del pasado VAST, es mucho más rápido y sencillo, aunque a cambio es más inseguro y tiene menos controles de seguridad, lo que permitió a los piratas informáticos empaquetar dentro de los archivos SWF ficheros javascript encargados de descargar malware e instalarlo en los ordenadores de los usuarios.
- Cuando el usuario cargaba una web con este tipo de publicidad SWF, el reproductor del navegador leía en primer lugar el script del archivo, empaquetado como bidder.swf, ejecutando así los comandos Javascript mientras, por otro lado, se reproducía el vídeo sin problemas.
- Cuando se intenta cargar el script, la web genera un iframe oculto de 1×1 px donde se carga una ventana publicitaria que comprueba la configuración del equipo del usuario y muestra un mensaje donde se pide actualizar ciertas aplicaciones o controladores del sistema (por ejemplo, Flash o Java). Si el usuario confía en dicho mensaje y descarga el archivo, se instala en el sistema una gran cantidad de software no deseado e incluso malware, que facilita el control del sistema a los piratas informáticos responsables.
- Sin embargo, esta técnica no ha sido siempre utilizada para instalar malware. En muchos casos, el script redirigía a los usuarios a otras páginas web maliciosas desde donde se explotaban vulnerabilidades para instalar el software malicioso sin la intervención del usuario. También se ha podido detectar cómo el script cambiaba las fuentes de los anuncios para favorecer a los piratas (por ejemplo, anunciando sus propios productos en Amazon) e incluso generar “visitas falsas” hacia otras webs con las que ganar posicionamiento y dinero en función a dichas visitas.
- Aunque Malwarebytes no ha dado información sobre el número de webs afectadas por esta nueva técnica de distribución de software malintencionado, es muy probable que este número sea muy superior a las 3.000 webs detectadas en el primer análisis.
- Por suerte, al tratarse de un fichero .swf podemos estar seguros de que, si visitamos webs que no contienen ningún elemento flash o bloqueamos este tipo de contenido con una extensión, no se llegará a descargar y ejecutar el código malicioso en el sistema de los usuarios, aunque visitemos la web.
