Un nuevo informe Confiant explora “los detalles detrás de una ola reciente de hacks de sitios web” así como las cargas maliciosas entregadas a las víctimas. El informe también incluye detalles sobre descargas automáticas, su estado actual en los principales navegadores, y cómo se abordarán en el futuro.
Hay más en la publicidad maliciosa de lo que parece
Los investigadores también analizan las campañas de publicidad maliciosa., con el objetivo de proporcionar “un panorama mucho más amplio más allá de lo que simplemente sucede en el espacio publicitario“. En otras palabras, hay más en publicidad maliciosa que anuncios maliciosos. Las compras de medios pueden ser una opción preferida para un punto de entrada, pero no son la única opción disponible.
¿Cuál es el estado actual de la publicidad maliciosa y las descargas no autorizadas??
En una típica cadena de malvertising, hay múltiples traspasos, similar a una campaña tradicional de CPA basada en tecnología publicitaria. Con malware, da la casualidad de que las últimas etapas de la transferencia ocurren entre intermediarios incompletos que llevan a la víctima a una página de destino maliciosa, Seguro explica.
Los investigadores inspeccionaron de cerca un incidente malicioso que sucedió con la versión de la aplicación para Android de BoingBoing en enero 2020, cuando se detectaron superposiciones maliciosas en el sitio web. Inicialmente se cree que es un incidente de "mal anuncio", el mismo ataque se detectó más tarde en otros sitios web también:
Durante las siguientes semanas, detectamos este ataque en una multitud de sitios. Por lo general, esto se manifiesta a través de un compromiso de CMS que introduce esta carga maliciosa.
En otras palabras, resultó que la supuesta campaña de publicidad maliciosa no está relacionada con la publicidad maliciosa. De hecho, El CMS de BoingBoing fue pirateado, y se inyectó un script que mostraba las superposiciones maliciosas a los visitantes.
Después de alguna investigación adicional, los investigadores descubrieron que las descargas automáticas estaban siendo iniciadas por JavaScript incrustado en la página. Este script crearía un enlace en la página y haría clic en un enlace, sin la necesidad de interacción del usuario, iniciando así la descarga.
Entonces apareció una pregunta: a pesar de que el ataque BoingBoing no fue malicioso, podría suceder un escenario similar a través de iframes malvertising y sandboxed?
La mayoría de los anuncios se basan en iframes de espacio aislado para insertar un anuncio en una página web. Dado que los anuncios suelen estar controlados por terceros, los iframes generalmente se utilizan con sandboxing para mejorar la seguridad y restringir acciones por parte de terceros.
¿Cómo están los navegadores??
Para verificar si el script malicioso conduciría a una descarga por unidad de un APK en iframes de origen cruzado de espacio aislado, los investigadores crearon una página de prueba de concepto con la idea de probar varios navegadores.
La inspiración para hacer este análisis fue el sorprendente descubrimiento de que la mayoría de los navegadores aceptarán descargas forzadas de marcos de origen cruzado. De hecho, Las descargas forzadas como esta todavía son posibles a menudo en los iframes Sandboxed Cross-Origin, solo se ha abordado en Chrome para esta última versión de Chrome 83, el informe explicado.
Sin embargo, las cosas no son tan buenas con Mozilla Firefox, ya que este navegador no evita descargas en iframes de origen cruzado, lo que lleva al usuario a solicitar que descargue el archivo. Se vio una imagen similar en el navegador Brave. En cuanto a Safari, por alguna razón el navegador “quiere honrar la descarga, pero parece atorarse” sin siquiera terminarlo.
Los navegadores móviles mostraron un comportamiento inconsistente:
Por ejemplo, Los navegadores de Android le avisan rápidamente cuando la descarga es un archivo con una extensión APK, pero cualquier otra cosa a menudo ni siquiera recibe un aviso.
Como se señala en el informe, Es bastante sorprendente que hoy en día todavía podamos forzar la descarga no iniciada por el usuario., sin ningún aviso de iframes de origen cruzado en la mayoría de los principales navegadores. La pregunta de por qué sigue sin respuesta.
Hace pocos años, una gran campaña de publicidad maliciosa Confiant descubrió que se había apoderado de servidores de anuncios completos para insertar anuncios maliciosos en sus inventarios de anuncios.. Los anuncios maliciosos redirigirían a los usuarios desprevenidos a sitios con malware generalmente disfrazados de actualizaciones de Adobe Flash Player. La campaña había durado al menos nueve meses..