Las redes publicitarias: una brecha en la seguridad de redes corporativas

“Malvertising” es un término que surgió hace poco para referirse a una técnica de distribución de malware mediante redes publicitarias, una práctica que se ha popularizado entre los cibercriminales. En los últimos cuatro años, cientos de millones de usuarios han sido víctima de publicidades “virales” que incluyeron entre los blancos de sus ataques a los visitantes de sitios web de medios de comunicación masivos como The New York Times, la Bolsa de Londres (London Stock Exchange) , Spotify, USNews, TheOnion, Yahoo! y YouTube. Los conflictos generados por las redes publicitarias son tan intensos que han obligado al Subcomité Permanente de Investigaciones del Senado de Estados Unidos a realizar una investigación profunda que derivó en recomendaciones para mejorar la seguridad y aumentar las responsabilidades de los dueños de plataformas publicitarias.

Al comenzar el año, se atacó a 2,5 millones de usuarios de Yahoo! Poco después del incidente, un compañía llamada Fox IT publicó un análisis profundo del ataque. Lo curioso es que, según Fox IT, no todos los usuarios de Yahoo! habían sido víctimas de la amenaza, sólo los residentes de países europeos, en especial Rumania, el Reino Unido y Francia. Los analistas de Fox IT creen que los atacantes pueden haber usado mecanismos publicitarios para audiencias específicas; por ejemplo, pueden haber pagado por “impresiones” para mostrar a los usuarios de los países mencionados. A continuación ilustramos cómo se realizan los ataques mediante redes publicitarias: a la izquierda, puedes ver un diagrama de organización general de la amenaza y a la derecha un ejemplo específico de un ataque contra usuarios de Yahoo!.

En el pasado, hemos escrito sobre ataques dirigidos realizados mediante sitios web de confianza (en los denominados ataques regadera, o “watering hole”) e ingeniería social en redes sociales y clientes de mensajería instantánea. En particular, dijimos que un cibercriminal debe hacer dos cosas para implementar un ataque regadera: primero, debe comprometer un sitio web de confianza. En segundo lugar, debe inyectar scripts maliciosos a escondidas en el código del sitio. Los cibercriminales también deben poner de su parte para que sus ataques mediante redes sociales o mensajería instantánea tengan éxito: al menos deben ganar la confianza del usuario para aumentar las probabilidades de que pulse en los enlaces que le envía.

Lo que diferencia a los ataques mediante redes publicitarias es que los cibercriminales no deben comprometer sitios web o ganar la confianza de sus víctimas potenciales. Lo único que deben hacer es encontrar un proveedor de anuncios publicitarios al cual comprarle “impresiones” o convertirse él mismo en uno (como BadNews). El trabajo restante, que tiene que ver con la distribución de códigos maliciosos, lo realiza la red publicitaria: el sitio de confianza descarga scripts maliciosos a su propio sitio mediante iframe.

Es más, los usuarios ni siquiera tienen que pulsar en los anuncios; cuando el navegador intenta publicar un anuncio en su sitio web, ejecuta el código SWF/JS del anuncio publicitario, que redirige de forma automática al usuario a un sitio web que contiene un paquete de exploits como Blackhole. A continuación, entra en juego un ataque “drive-by”: el paquete de exploits trata de escoger un exploit apropiado para atacar una vulnerabilidad en el navegador o sus complementos.

El problema de las redes publicitarias que se usan para distribuir malware y lanzar ataques dirigidos (aprovechando su capacidad de atacar a públicos específicos) no sólo afecta a aquellos que visitan sitios web mediante sus navegadores. El riesgo se extiende a aquellos usuarios de aplicaciones que pueden mostrar publicidades, como clientes de IM (incluyendo Skype), clientes de correo electrónico (como Yahoo!), etc. Por último, también es importante notar que el problema afecta a una gran cantidad de usuarios de aplicaciones móviles, ya que estas aplicaciones también se conectan a redes publicitarias.

En esencia, la diferencia de las aplicaciones móviles radica en que los Kits de Desarrollo de Software (SDK) que se usan para integrar publicidades a las aplicaciones (como AdMob, Adwhirl, etc.) no admiten la ejecución de código arbitrario de los proveedores de publicidades, como es el caso de los anuncios en sitios web. En otras palabras, sólo se aceptan datos estáticos del servidor que provee las publicidades. Esto incluye imágenes, enlaces, configuraciones, etc. Pero los cibercriminales también pueden crear SDKs , igual que las compañías de medios de comunicación. Los delincuentes ofrecen a los desarrolladores un pago por click más alto que el de sus competidores legítimos. Es por eso que los desarrolladores de programas legítimos para teléfonos móviles integran los códigos “publicitarios” maliciosos (que en esencia son puertas traseras), en sus aplicaciones. Es más, las SDKs legítimas pueden tener vulnerabilidades que permiten la ejecución de códigos arbitrarios. A fines del año pasado se identificaron dos de estos casos: una en la SDK de HomeBase y otra en la SDK de AppLovin.

Fuente: http://researchcenter.paloaltonetworks.com

La cuestión es: “¿Cómo pueden las redes corporativas protegerse contra los ataques realizados mediante redes publicitarias?” No existe una respuesta simple, en especial si tienes en mente los posibles blancos de los ataques. Como mencionamos antes, la protección debe cubrir no sólo los ordenadores (y sus respectivos navegadores, clientes de mensajería electrónica y aplicaciones que admiten publicidad dinámica), sino también los dispositivos móviles que pueden acceder a las redes corporativas.

Está claro que para proteger los ordenadores se necesita por lo menos una solución antivirus Security Suite, que debe incluir:

• protección contra la explotación de vulnerabilidades;
• HIPS avanzados con características de acceso restringido y análisis heurístico y de comportamiento (incluyendo el análisis de tráfico);
• herramientas para monitorizar el sistema operativo (System Watcher o Hypervisor) en caso de que el sistema se infecte.

Para protecciones más confiables de ordenadores, vale la pena emplear tecnologías de control de aplicaciones, recolectar estadísticas a modo de inventario sobre los programas que se utilizan en redes, establecer mecanismos de actualización y activar el modo Default Deny.

Por desgracia, comparada con la protección de ordenadores, la protección de dispositivos móviles sigue en pañales. Es muy difícil implementar un paquete de seguridad o Control de aplicaciones para dispositivos móviles, ya que eso implicaría modificar el firmware, que no siempre es posible. Es por eso que la tecnología Mobile Device Management (MDM) es la única arma efectiva en la actualidad para proteger los dispositivos móviles que se conectan a la red corporativa. La tecnología puede controlar qué aplicaciones pueden instalarse en un dispositivo y cuáles no.

Los cibercriminales han usado redes publicitarias para distribuir malware por años. A la vez, el mercado publicitario está creciendo con velocidad y expandiéndose hacia nuevas plataformas (sitios web grandes, aplicaciones populares, dispositivos móviles), atrayendo a nuevos anunciantes, socios, intermediarios y agregadores de contenido, que se interconectan en una red muy enredada. El problema de las redes publicitarias es un ejemplo más que demuestra que la gran velocidad del desarrollo de la tecnología no siempre va de la mano con la evolución de las tecnologías de seguridad.