El FBI, Google, WhiteOps (compañía de lucha contra el fraude en publicidades) y una colección de empresas de seguridad, trabajaron juntos para cerrar uno de los esquemas de fraude de anuncio más grandes y más sofisticados digitales que
infectaron más de 1.7 millones de ordenadores para generar clicks falsos para estafar a anunciantes en línea durante años, con ganancias millonarias.
Apodada como
3ve, la campaña de fraude de ads en línea, como se cree,
ha estado activa al menos desde 2014, pero su actividad fraudulenta creció el año pasado, convirtiéndose en un negocio a gran escala y ganando más de 30 millones de dólares.
Mientras tanto, el Ministerio de Justicia de los Estados Unidos, también abrió el martes una acusación de 13 cargos contra 8 personas de Rusia, Kazajstán y Ucrania que supuestamente dirigían este enorme plan de publicidad en línea.
El esquema de la red de bots 3ve implementó diferentes tácticas, como crear sus propias redes de bots, crear versiones falsas de sitios web y visitantes, vender inventarios de anuncios fraudulentos a los anunciantes, secuestrar direcciones IP del Protocolo Border Gateway (BGP), usar proxies para ocultar direcciones IP reales, e infectar a los usuarios de PC con malware: todo para crear o generar clics falsos sobre anuncios en línea y recibir pagos.
"Los estafadores intentan producir tráfico falso e inventario de anuncios fraudulentos para engañar a los anunciantes y hacerles creer que sus anuncios están siendo vistos por usuarios reales e interesados", dijeron los investigadores de
WhiteOps.3ve involucró a 1,7 millones de computadoras infectadas, más de 80 servidores generando tráfico falso de Internet, más de 10,000 sitios web falsificados para hacerse pasar por editores web legítimos y más de 60,000 cuentas vendiendo inventario de anuncios a través de más de un millón de direcciones IP comprometidas para generar de 3 a 12 mil millones de solicitudes diarias de ofertas de anuncios.
3ve - Tipos y trabajo
Según Google y varias empresas de ciberseguridad, el esquema de fraude publicitario se ha denominado
3ve porque
se basa en un conjunto de tres suboperaciones distintas, "cada una de las cuales toma medidas exclusivas para evitar la detección, y cada una se basa en arquitecturas diferentes que utilizan componentes diferentes".
"Sus operadores adoptaron constantemente nuevas formas de disfrazar los robots de 3ve, lo que permite que la operación continúe creciendo incluso después de que su tráfico estuviera en la lista negra. Cada vez que estaban bloqueados en un lugar, reaparecían en otro lugar", dijo Google.
Aquí hay una breve descripción de las tres operaciones de 3ve:3ve.1: El esquema de malware BOAXXE, también conocido como METHBOT o MIUREFLa primera 3ve, llamadas 3ve.1 por claridad, fueron impulsadas por una red de bots que operan en centros de datos en los Estados Unidos y Europa.
Esta operación usó la botnet Boaxxe, también conocida como Miuref y Methbot, y BGP hijacking para obtener las direcciones IP utilizadas para enviar tráfico de los dispositivos infectados en los centros de datos y visitar páginas web falsas y reales.
Inicialmente, todas las solicitudes de anuncios falsos se originaron en los navegadores de escritorio, pero con el tiempo,
esta operación comenzó cada vez más a depender del tráfico falso móvil de los dispositivos Android, ya que las solicitudes de anuncios parecían provenir de aplicaciones móviles o de navegadores móviles.Entre septiembre de 2014 y diciembre de 2016, este esquema usó 1,900 servidores alojados en centros de datos comerciales para cargar publicidad de anunciantes en más de 5,000 sitios web falsificados, generando millones de dólares en ganancias para sus operadores.
3ve.2 — El Esquema de Malware KOVTERSe utilizó dominios falsificados para vender anuncios falsos. Sin embargo, en lugar de confiar en los proxies para ocultar sus actividades, este enfoque implementó un agente de navegación personalizado y oculto (Chromium Embedded Framework) en más de 700,000 dispositivos infectadas con el malware Kovter.
Este esquema hizo uso de servidores de redirección que
ordenaban a las computadoras infectadas visitar páginas web falsas específicas.Kovter fue inicialmente una pieza de ransomware, pero la familia ha evolucionado desde entonces para convertirse en malware de fraude publicitario con su capacidad de enviar tráfico falso si detecta un monitor de red, finaliza su propio proceso si el Administrador de tareas de Windows es abierto, use la llamada persistencia "sin archivos" almacenando su payload cifrado en el registro de Windows, y más.3ve.3 — Centros de datos de IPs como proxiesLa tercera suboperación asociada a 3ve fue similar a 3ve.1. Sus bots se basaban en unos pocos centros de datos, pero para cubrir sus huellas, utilizaba las direcciones IP de otros centros de datos como proxies (capa de nodo de salida) en vez de ordenadores residenciales.
Aunque los centros de datos son mucho más sospechosos para los anunciantes que están preocupados por el tráfico de bots, la estrategia 3ve.3 todavía permitió un grado razonable de agilidad al ayudar a sus operadores a encontrar nuevos centros de datos tan pronto como se bloquearon los centros de datos antiguos.
Las autoridades eliminan la operación de fraude de publicidad "3ve"Google descubrió las operaciones 3ve el año pasado mientras evaluaban el impacto de la operación Methbot, un operacion clandestina de fraudes publicitarios que White Ops reveló en 2016, que ESET nombró como la red de bots Boaxxe.
Sin embargo, después de que la actividad de 3ve creciera en 2017, generando miles de millones de solicitudes diarias de ofertas publicitarias, Google colaboró con otras compañías de seguridad que estaban investigando de forma independiente esta importante operación de fraude publicitario para eliminar toda la red de 3ve.
Google y otras firmas de seguridad trabajaron con el FBI para cerrar la operación masiva de fraude publicitario. Después de obtener las garantías el mes pasado,
el FBI se apoderó de 31 dominios de Internet y 89 servidores que formaban parte de la infraestructura de 3ve.Las compañías de seguridad cibernética en el sector privado también ayudaron a incluir en la lista negra la infraestructura de 3ve involucrada en el esquema de fraude publicitario y el tráfico hacia los dominios malos.
8 personas acusadas de fraude publicitario multimillonarioEl martes, el Departamento de Justicia de EE. UU. Acusó a ocho personas presuntamente involucradas en la estafa de publicidad en línea, incluyen a cinco ciudadanos rusos, una persona de Rusia y Ucrania y dos personas de Kazajstán. Tres de ellos ya han sido arrestados.
"La Oficina también extiende su agradecimiento a Microsoft Corporation, ESET, Trend Micro Inc., Symantec Corporation, CenturyLink, Inc., F-Secure Corporation, Malwarebytes, MediaMath, National Cyber-Forensics and Training Alliance y The Shadowserver Foundation por su asistencia en el derribo de la botnet", dijo DOJ.Los acusados están acusados de 13 cargos de infracciones criminales, incluido fraude electrónico, robo de identidad con agravantes, lavado de dinero y conspiración en intrusiones informáticas, entre otros delitos.FUENTE
Similar topics (5)
Septiembre 17, 2015, 03:15:22 am