El ataque malicioso de eGobbler infecta más de mil millones de anuncios | Malware


Dos exploits de publicidad maliciosa de eGobbler afectaron 1.16 mil millones de anuncios programáticos entre el 1 de agosto y el 23 de septiembre, según
Confiado, que ha estado siguiendo la amenaza durante aproximadamente un año.

Las primeras versiones específicas de Chrome anteriores a Chrome 75 en iOS. La falla se solucionó en el lanzamiento de Chrome 75 el 4 de junio.

El segundo exploit impactó los navegadores basados ​​en WebKit. Confiant lo informó a los equipos de seguridad de Chrome y Apple el 7 de agosto. El equipo de Chrome emitió un parche el 9 de agosto. Apple solucionó el problema en iOS 13 el 19 de septiembre y en Safari 13.0.1 el 24 de septiembre.

La publicidad maliciosa, en general, implica el uso de anuncios en línea para difundir una variedad de malware. Los anuncios programáticos son aquellos que se compran y venden a través de procesos automatizados a través de software en lugar de interacciones humanas.

"Confiant se ha centrado en detectar y bloquear malversiones desde su inicio", dijo el director de tecnología Jerome Dangu.

La compañía monitorea más de 50 mil millones de visitas publicitarias mensuales, dijo a TechNewsWorld. Esta escala le permite "realizar evaluaciones de seguridad en cada anuncio en tiempo real y generar inteligencia de atribución y amenazas".

Cómo funciona eGobbler

eGobbler está diseñado para omitir las funciones del navegador que bloquean las redirecciones forzadas iniciadas por personas que no sean el usuario, dijo Eliya Stein, ingeniera de seguridad de Confiant.

Los iframes de origen cruzado, que cargan recursos de un dominio que es diferente de la página principal, se usan comúnmente en intentos de redireccionamiento forzado.

En su forma más básica, el anuncio malicioso intentaría redirigir la página principal de esta manera: Top.window.location = "http: // malware_landing_page", dijo Stein a TechNewsWorld.

Los mecanismos de seguridad del navegador generalmente evitan que eso suceda y se ven aumentados por los atributos de sandboxing, dijo Stein. Sin embargo, eGobbler omite esos mecanismos y permite que la redirección forzada se realice si el usuario pre siona cualquier tecla del teclado.

"Las redirecciones contundentes como esta tendrán éxito con la suficiente frecuencia en los navegadores no vulnerables si los atributos de sandbox están ausentes en el iframe donde se publica el anuncio", observó Stein. "Esto sigue siendo común".

Confiant encontró que se generaría una ventana emergente cuando un usuario hiciera clic en la página principal, incluso cuando los parámetros de la caja de arena estuvieran presentes.

Los hackers de eGobbler a menudo usan redes de entrega de contenido, o CDN, para la entrega de carga útil. Cuando están disponibles, aprovechan los subdominios que parecen inocuos o incluyen marcas conocidas.

Quien fue golpeado

Stefan señaló que eGobbler apunta a la mayoría de los navegadores populares que se utilizan en lugar de enfocarse en cualquier navegador vulnerable.

Confiant encontró que el navegador Chrome en iOS se vio afectado, mientras que otros navegadores móviles y de escritorio bloquearon con éxito la ventana emergente.

Después de mediados de junio, los piratas informáticos aparentemente apuntaron a computadoras de escritorio en lugar de dispositivos móviles, y casi el 78 por ciento de los objetivos eran dispositivos de Windows, según Confiant. Los dispositivos Mac OS X constituían solo el 14 por ciento, y los dispositivos iOS, aproximadamente el 1 por ciento.

Los anuncios en Chrome representaron el 82 por ciento de los anuncios afectados; los de Firefox constituyeron el 10 por ciento; anuncios en Edge 3.4 por ciento; y anuncios en Opera 2.2 por ciento.

Aparentemente, la técnica utilizada para el segundo exploit es menos probable que se reproduzca orgánicamente durante la navegación móvil.

"Según algunas estimaciones de la industria, esta temporada de compras será la primera en la que las compras móviles superan a las realizadas en una computadora portátil tradicional y un navegador web", Kim DeCarlis, CMO de
PerímetroX, señaló.

"Entonces, de alguna manera, las empresas cuyo negocio proviene de usuarios móviles pueden preocuparse un poco menos", dijo a TechNewsWorld.

El impacto de eGobbler

El gasto programático en publicidad gráfica en los EE. UU. Crecerá casi un 21 por ciento este año, a US $ 59.450 millones, eMarketer predicho.

El impacto de eGobbler dependerá de cuánto se gasta el presupuesto de un anunciante en anuncios programáticos, señaló DeCarlis.

La hazaña tendrá dos resultados, dijo. "Primero, los anunciantes evaluarán el resultado impulsado por su trabajo programático y, si ha disminuido, es probable que disminuyan su inversión en favor de la publicidad alternativa y los canales de mercado".

"Segundo", continuó DeCarlis, "los anunciantes podrían comenzar a investigar soluciones que ayuden a abordar la publicidad maliciosa al asociarse con sus departamentos de TI y seguridad para encontrar una solución".

Peligro claro y presente

Aunque el enfoque actual de eGobbler parece ser el de las computadoras de escritorio, "los actores de amenazas son inteligentes y probablemente transformarán su trabajo para perseguir a los usuarios de dispositivos móviles, particularmente si ese es el dinero", advirtió DeCarlis.

"eGobbler ejecuta campañas como esta con bastante frecuencia y a gran escala, ya sea que tengan o no un exploit como este", señaló Stein de Confiant. Los hackers de eGobbler son "bastante persistentes, por lo que sospechamos que van a repetir su estrategia ahora que los parches para estos errores están en su lugar".

Cómo protegerse contra eGobbler

Los usuarios deben mantener actualizados sus navegadores web móviles y de escritorio para protegerse contra eGobbler, dijo Stein. También deben tener en cuenta las páginas de phishing al completar formularios en línea.

Los anunciantes deben trabajar con sus departamentos de TI y ciberseguridad para investigar soluciones de protección contra malware, sugirió DeCarlis.

Los consumidores deben informar a los propietarios de sitios web sobre cualquier comportamiento extraño que encuentren, dijo. "La única forma en que el propietario del sitio o el anunciante sabe lo que sucede es cuando los visitantes de la Web informan sobre incidentes".



Richard Adhikari ha sido reportero de ECT News Network desde 2008. Sus áreas de enfoque incluyen seguridad cibernética, tecnologías móviles, CRM, bases de datos, desarrollo de software, computación mainframe y de rango medio, y desarrollo de aplicaciones. Ha escrito y editado para numerosas publicaciones, incluyendo Semana informativa y Mundo de la informática. Es autor de dos libros sobre tecnología cliente / servidor.
Correo electrónico a Richard.



LO MÁS LEÍDO

Leave a Reply

Your email address will not be published. Required fields are marked *