CAPTCHAs falsos que alcanzan a millones infestando malware

Iniciado por AXCESS, Diciembre 16, 2024, 04:34:46 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Diciembre 16, 2024, 04:34:46 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los editores legítimos están mostrando anuncios maliciosos. Una red de anuncios legítima los está distribuyendo. Una plataforma de análisis legítima los está ocultando. Los proveedores legítimos de la nube están alojando sitios web maliciosos y malware real. Los motores de búsqueda legítimos ayudan a generar tráfico. Todos están señalando a los culpables y nadie es responsable.

La nueva campaña de publicidad maliciosa que abusa de captchas falsos para impulsar infecciones de robo de información tiene un alcance asombroso.

"Solo en los últimos diez días, nuestro análisis estimó hasta 1 millón de "impresiones de anuncios" por día, que llegan desde más de 3000 sitios de editores", según un nuevo informe de Guardio Labs.

Cybernews informó recientemente sobre actores de amenazas que utilizan con éxito avisos de detección de bots maliciosos para eliminar el robo de información Lumma. Los captchas falsos aparecen inesperadamente mientras los usuarios navegan e imitan el proceso de verificación real.

Piden a los usuarios que presionen tres combinaciones de teclas, que copian y pegan en secreto un comando malicioso de PowerShell del portapapeles a la ventana Ejecutar del sistema y lo ejecutan.

La parte menos clara fue cómo los actores de amenazas entregaron realmente esas ventanas emergentes a usuarios desprevenidos.

"Este engaño inicial es solo la superficie", dijo Guardio Labs.

El éxito de la campaña radica en la explotación sofisticada de la mecánica subyacente de las redes publicitarias para entregar "publicidad maliciosa con esteroides".

Las redes publicitarias permiten la distribución de malware potente

Los actores de amenazas a menudo abusan de las redes publicitarias, ya que son enlaces esenciales para distribuir tráfico desde los sitios web de los editores a las páginas de destino de los anunciantes. Incluso los anuncios de Facebook o los resultados patrocinados de la Búsqueda de Google no son inmunes a la publicidad maliciosa.

"Las redes publicitarias han demostrado ser excepcionalmente exitosas; son máquinas afinadas construidas desde cero para distribuir tráfico a gran escala", explican los Guardio Labs en el nuevo informe.

Después de diseccionar la campaña de captcha falso, los investigadores descubrieron que se basa completamente en publicidad maliciosa originada por un solo servicio de red publicitaria Monetag. Monetag es una subsidiaria de PropellerAds, una gran empresa de redes publicitarias con sede en Chipre, que anteriormente había sido sorprendida vendiendo anuncios que instan a los usuarios a escanear computadoras o actualizar software.

Para los anunciantes, crear una cuenta en Monetag es sencillo. La empresa proporciona etiquetas de script, pestañas emergentes, banners, notificaciones push y otras herramientas para ejecutar anuncios.

Sin embargo, los investigadores afirman que los scripts proporcionados realizan un amplio rastreo de huellas digitales, inyectan cookies de seguimiento, escanean el contenido del sitio web y "básicamente 'secuestran' el sitio, capturan clics para generar nuevas pestañas de anuncios, solicitan permisos de notificación e incluso implementan iframes emergentes".

Los anuncios maliciosos se enviaban a una "gran cantidad de sitios web", que a menudo estaban vinculados a la piratería de películas o transmisiones deportivas en vivo e incluso enlaces directos en las redes sociales. Debido a la agresiva optimización de los motores de búsqueda, algunos de estos sitios web aparecieron en la parte superior de los resultados de búsqueda de Google.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

"En los últimos diez días, hemos identificado aproximadamente 3.000 sitios de editores que utilizan activamente scripts de la zona de anuncios de Monetag. Estos scripts rastrean a los visitantes y desencadenan acciones intrusivas, como notificaciones push y ventanas emergentes de nuevas pestañas. Por ejemplo, el sitio de anime "hianime[.]to" por sí solo obtuvo más de 100.000 visitas únicas el mes pasado".

Los anuncios maliciosos no conducían directamente a sitios web maliciosos, y se utilizó otro servicio para el encubrimiento. Los actores de amenazas abusaron del servicio de seguimiento de anuncios de BeMob.

"Al proporcionar una URL benigna de BeMob al sistema de gestión de anuncios de Monetag en lugar de la página captcha falsa directa, los atacantes aprovecharon la reputación de BeMob, complicando los esfuerzos de moderación de contenido de Monetag", explican los investigadores.

Las páginas captcha maliciosas estaban alojadas nuevamente en servicios como Oracle Cloud, Scaleway, Bunny CDN, EXOScale e incluso Cloudflare.

En un ejemplo, los investigadores proporcionaron una página captcha falsa con temática de Cloudflare alojada en el almacenamiento Cloudflare R2.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

"A medida que profundizamos en el método de distribución conocido como malvertising, se hace evidente lo intrincada y complicada que es realmente la campaña de captcha falso. Sin embargo, las operaciones principales dependen en gran medida de la red publicitaria: esencialmente, su práctica comercial estándar se transforma para un uso malicioso", explica el informe.

Nadie es completamente responsable

Si bien un solo clic en un anuncio desencadena una reacción en cadena que involucra a múltiples proveedores de servicios, dominios, servidores y partes interesadas, cada uno de ellos tiene una excusa conveniente.

La red publicitaria no moderará el contenido creativo porque está camuflado detrás de un servicio de estadísticas publicitarias. El servicio de seguimiento de anuncios argumenta que es simplemente una herramienta de análisis. Los editores se distanciarán, diciendo que están monetizando sus sitios web a través de servicios de terceros. Los servicios de alojamiento también son en gran medida ignorantes.

"Esta cadena fragmentada de propiedad crea una tormenta perfecta de negación plausible, lo que hace que sea excepcionalmente difícil identificar y hacer cumplir la responsabilidad. Es un sistema diseñado para desviar la culpa mientras permite que prosperen las campañas maliciosas", dijo Guardio Labs.

Los investigadores revelaron responsablemente sus hallazgos a las empresas involucradas, y Monetag rápidamente bloqueó más de 200 cuentas vinculadas al abuso. Las acciones redujeron significativamente las visitas a la página de captcha falso. Sin embargo, las impresiones comenzaron a aumentar nuevamente después de más de una semana.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los investigadores advierten que este es solo un ejemplo que expone el "lado más oscuro del ecosistema publicitario de Internet". La publicidad se ha convertido en una piedra angular de Internet moderna, pero el ecosistema impulsado por el lucro enfrenta un conflicto de intereses significativo y deja a los usuarios vulnerables.

"La moraleja es simple: tenga cuidado con los sitios web que ofrecen contenido GRATUITO por el que de otro modo pagaría. Como siempre decimos, no existe tal cosa como un regalo gratis en Internet", concluyeron los investigadores.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario