O malvertising é a forma ilegal de mentir e os agentes de ameaças encontraram uma nova forma de difundir malware aos milhões de utilizadores.

Herbert George Wells uma vez referiu que a publicidade é apenas uma forma legal de mentir. No entanto, na era do marketing digital em que vivemos, parece que os agentes de ameaças estão um passo mais à frente do que o escritor inglês disse e criaram uma maneira ilegal de mentir dentro da indústria da publicidade.

A Check Point Research encontrou uma nova e complexa forma de abusar das infraestruturas digitais de publicidade online para difundir malware aos utilizadores da internet no mundo. Isto é conhecido por malvertising. Neste caso, começou por comprometer os websites em WordPress, o qual envolve múltiplas partes da cadeia de publicidade online e termina com a distribuição de conteúdos maliciosos aos utilizadores.

Para perceber melhor o mundo da publicidade online, basta saber que opera em 3 fundamentos:

• Anunciantes que desejam promover os seus produtos ou conteúdos.
• Editores que atribuem espaço nos seus websites e os vendem aos Anunciantes.
• Ad-Networks que apostam na compra de espaço publicitário e conectam com os editores e anunciantes.

Além destas partes existem os ‘revendedores’. Estas empresas funcionam com os Ad-Networks para revender tráfego que os Ad-Networks recolhem dos editores para outros anunciantes.

A campanha de malvertising revelou uma parceria preocupante entre um agente de ameaças disfarçado como um Editor (apelidado de ‘Master134’) e vários revendedores legítimos. Estes aproveitam-se desta relação para distribuir vários tipos de malware incluindo Banking Trojans, ransomware e bots. A alimentar todo este processo estava o influente Ad-Network, AdsTerra.

A investigação revelou como o Master134 redirecionou tráfego roubado de mais de 10,000 sites em WordPress e o vendeu ao AdsTerra, plataforma de publicidade real time bidding (RTB), que por sua vez vendeu a revendedores (ExoClick, AdKernel, EvoLeads e AdventureFeeds). Estes revendedores então passavam o tráfego para o ‘Anunciante’ com o valor mais alto. No entanto, em vez do anunciante ser uma empresa legítima a vender produtos reais, estes ‘anunciantes’ eram agentes de ameaças à procura de distribuir ransomware, Banking Trojans, Bots e outros malware para o tráfego do Master134.

Atração fatal para o Malvertising

Claro que o malvertising não é um fenómeno recente. De acordo com um relatório da eMarketer, é esperado que o gasto digital global no mercado media chegue a $357 mil milhões até 2020. Com estes dados, não é surpresa que os cibercriminosos já perceberam a oportunidade para manipular a relação entre anunciantes e editores e receber uma parte dos investimentos de ad-spend.

Ao longo dos últimos 10 anos, as publicidades exibidas em websites legítimos e populares têm surgido como formas chave para os criminosos que procuram infetar utilizadores sem levantar suspeitas. Em alguns casos, as publicidades contêm códigos maliciosos que exploram vulnerabilidades não corrigidas nos browsers ou nos Plug-ins de browsers, como o Adobe Flash Player. Estas publicidades têm a capacidade de instalar ransomware, keyloggers, e outros tipos de malware onde os utilizadores apenas precisam de visitar um site que esteja a hospedar um link malicioso.

Como consequência direta, a utilização de ad-blockers ganhou rapidamente popularidade, onde 22% dos cidadãos do Reino Unido têm implementado. Mas de acordo com a Internet Advertising Bureau (IAB), este número estagnou quando os editores atuaram e bloquearam o acesso aos sites a todos quantos têm ad-blockers ativos. Por isso, em fevereiro deste ano, a Google tomou controlo do problema e juntou-se com a Coalition for Better Ads para criar um ad blocker no Google Chrome que automaticamente retira publicidades dos websites onde a qualidade não vai de encontro com os standards da indústria.

Desde uma perspetiva de anunciante, ou neste caso de ‘malvertisers’ (agentes de ameaças disfarçados como anunciantes), os utilizadores até podem ser considerados como alvos de acordo se têm ou não sistemas operativos ou browsers vulneráveis, e até mesmo pelo modelo dos dispositivos. Portanto, mesmo que se monitorize com muita atenção para garantir que as publicidades não têm problemas, a não ser que se faça a combinação exata de características que os malvertisers têm com alvo, as ad-networks não vão conseguir encontrar atividades maliciosas.

Tenha sempre um plano de reserva

Desafortunadamente, não interessa quanta consciência os colaboradores das empresas tenham, ou até mesmo dos utilizadores domésticos. Devido à natureza passiva do malware a ser entregue apenas por ser carregado no ecrã do utilizador através de uma publicidade maliciosa, a atualização dos ad-blockers nunca será suficiente.

Estes ataques têm como alvo os endpoint em vez das redes informáticas, as organizações precisam de uma abordagem multicamada para que a sua cibersegurança esteja completamente segura. Não apenas das ameaças conhecidas, mas também contra malware desconhecido e ameaças zero-day, como o malvertising. O SandBlast Zero-Data Protection da Check Point e o Mobile Threat Prevention, são alguns exemplos para se proteger contra todo o tipo de ataques que continuam a evoluir, e também proteger de variantes de malware zero-day.

A Check Point criou um white paper para se poder perceber melhor sobre como prevenir das ameaças de zero-day e a proteção de ciberataques.