La publicidad en línea se ha convertido en una parte fundamental de nuestra experiencia en la web. Desde anuncios en sitios web hasta vídeos promocionales en plataformas de streaming, la publicidad en línea está en todas partes. Sin embargo, esta exposición constante a la publicidad en línea también ha dado lugar a un problema creciente: el malvertising. Recientemente, un caso impactante de malvertising ha captado la atención de expertos en seguridad cibernética. En este artículo exploraremos cómo esta técnica está cambiando el panorama de la seguridad en línea y qué pueden hacer los usuarios y las empresas para protegerse.
El malvertising implica insertar código malicioso en anuncios aparentemente inofensivos. Estos anuncios se muestran en sitios web legítimos, lo que los hace más engañosos y peligrosos. Al hacer clic en estos anuncios, los usuarios pueden inadvertidamente descargar malware en sus dispositivos, lo que puede conducir a robo de datos, daño a sistemas y una variedad de otros problemas de seguridad.
Te podría interesar leer más sobre: ¿Qué es Malvertising?: Anuncios Maliciosos en Línea
Una reciente campaña de publicidad maliciosa ha sido descubierta, la cual utiliza sitios web falsos que imitan a un conocido portal de noticias de Windows para difundir un instalador malicioso de CPU-Z, una popular herramienta de creación de perfiles de sistemas. Jérôme Segura, de Malwarebytes, explicó que este incidente forma parte de una campaña más amplia que también apunta a otras aplicaciones conocidas como Notepad++, Citrix y VNC Viewer, utilizando nombres de dominio específicos y técnicas de ocultamiento para evitar ser detectados.
Estas campañas de malvertising suelen crear sitios espejo que promocionan software de uso común. Lo que distingue a esta última actividad es que imita al sitio web WindowsReport[.]com. Los usuarios que buscan CPU-Z a través de motores de búsqueda como Google pueden ser engañados por anuncios maliciosos que los redirigen al portal falso (workspace-app[.]online). Al mismo tiempo, aquellos usuarios que no son el objetivo de la campaña son dirigidos a un blog inofensivo con contenido variado, utilizando una técnica de ocultamiento.
Te podría interesar leer: Spoofing: El Arte del Engaño Digital
El instalador MSI falso alojado en el sitio web contiene un script malicioso de PowerShell y un cargador denominado FakeBat (o EugenLoader), que facilita la implementación del malware RedLine Stealer en el dispositivo afectado. Segura sugiere que la elección de imitar a un sitio como Windows Report podría deberse a que los usuarios suelen descargar software desde este tipo de portales en lugar de las páginas oficiales.
Esta situación no es nueva; recientemente, la empresa de ciberseguridad eSentire reveló una campaña de Nitrogen que prepara el terreno para un ataque de ransomware BlackCat mediante anuncios engañosos en Google. En meses recientes, eSentire documentó otras dos campañas que utilizaban la descarga automática para dirigir a los usuarios a sitios dudosos, propagando malware como NetWire RAT, DarkGate y DanaBot.
Los actores de amenazas siguen recurriendo a kits de phishing de adversario en el medio (AiTM), como NakedPages, Strox y DadSec, para eludir la autenticación multifactor y secuestrar cuentas. Además, eSentire destacó un nuevo método denominado ataque Wiki-Slack, que busca dirigir a las víctimas a un sitio web controlado por atacantes mediante la desfiguración del final del primer párrafo de un artículo de Wikipedia y su compartición en Slack.
Este método explota una peculiaridad de Slack que malinterpreta el espacio en blanco entre el primer y segundo párrafo, generando automáticamente un enlace malicioso cuando se muestra la URL de Wikipedia como vista previa. Para que el ataque sea efectivo, la primera palabra del segundo párrafo del artículo de Wikipedia debe ser un dominio de nivel superior (por ejemplo, in, at, com o net), y ambos párrafos deben estar entre las primeras 100 palabras del artículo. Esto permite a los atacantes potencialmente manipular la superficie de ataque del ataque Wiki-Slack, editando páginas de Wikipedia de alto interés para incluir enlaces maliciosos, según señaló eSentire.
Te podría interesar leer: Análisis de Malware con Wazuh
El malvertising es una amenaza creciente en el mundo de la seguridad cibernética. A medida que los atacantes se vuelven más sofisticados en sus métodos, es crucial que tanto los individuos como las organizaciones tomen medidas proactivas para protegerse. Mantenerse informado sobre las últimas tácticas de malvertising, actualizar regularmente el software y fomentar una cultura de seguridad cibernética son pasos esenciales para defendernos contra estas amenazas ocultas en la publicidad en línea.
Este análisis detallado nos muestra que, si bien la tecnología nos ofrece numerosos beneficios, también viene con nuevos desafíos. El malvertising no es solo un problema de seguridad informática; es un recordatorio de la importancia de la vigilancia y la educación en todas nuestras interacciones digitales. Con las estrategias adecuadas y un enfoque proactivo, podemos navegar por el mundo digital de manera más segura y protegida.