Ampliar / Una estafa de soporte técnico impulsada por Zirconium muestra el URL autenticada de Microsoft, lo que facilita a algunas personas confianza.
El año pasado trajo una oleada de anuncios incompletos en línea a Internet que trató de engañar a los espectadores para que instalen software malicioso. Incluso el servicio de informes de crédito Equifax fue atrapado redirigiendo su visitantes del sitio web a un instalador Flash falso solo unas semanas después informes de una violación de datos que afecta a 145.5 millones de EE. UU. consumidores
Ahora, los investigadores han descubierto una de las fuerzas que impulsan pico: un consorcio de 28 agencias de publicidad falsas. El consorcio exhibido un estimado de mil millones de impresiones de anuncios el año pasado que impulsaron software antivirus malicioso, estafas de soporte técnico y otros esquemas fraudulentos. Desarrollando cuidadosamente relaciones con plataformas publicitarias legítimas, los anuncios llegaron al 62 por ciento de la Los sitios web ad-monetizados de Internet semanalmente, investigadores de la firma de seguridad Confiant informó en un informe publicado el martes. (Confiant ha denominado al consorcio “Circonio”). Los anuncios fueron entregado en los llamados “redireccionamientos forzados”, en los que un sitio mostrar contenido editorial o un anuncio de repente abrió una nueva página en Un dominio diferente.
El CTO de confianza Jerome Dangu escribió lo siguiente en un correo electrónico:
Estas redirecciones forzadas son un mecanismo técnico que puede ser aprovechado para entregar una variedad de ataques maliciosos, de aquellos dirigidas a empresas (fraude de afiliación), a aquellas dirigidas usuarios individuales (estafas de phishing, descargas maliciosas, actualizaciones falsas etc.) … Como mínimo, estas redirecciones forzadas a menudo hacen que un sitio web inutilizable para un usuario cotidiano, [y] en el peor [visitantes] están siendo atacado directamente La gente necesita entender dónde están los problemas proveniente de (a menudo se culpa al propietario del sitio web, incluso cuando ellos también son víctimas) y cuáles son los nuevos riesgos para ellos en un anuncio compatible con Internet.
Confiant dijo que la mayoría de las agencias de publicidad falsas tienen sus propias sitios web, cuentas de Twitter y perfiles ejecutivos en LinkedIn. Uno dicha agencia mencionada en el informe se conoce como Grandonmedia, cuyo sitio web insta a los visitantes a “Comprar visitantes del tráfico del sitio web para nuestros clientes leales! “El perfil de Facebook para su CEO muestra lo que parece ser una foto de un negocio de valores, como lo hizo anteriormente versión del perfil de LinkedIn del CEO
Las agencias también confían en contenido generado por máquina publicado desde sus cuentas en Facebook y Twitter. Grandonmedia bots emitidos contenido que incluye “Relaciones duraderas con un socio confiable es el clave para el éxito en el marketing en línea “y” ¿Quiere participar en sus ganancias en línea? No dude en ponerse en contacto “. Grandomedia los funcionarios no respondieron a los mensajes en busca de comentarios para esto enviar.
Subrayando cuánto trabajo ponen los organizadores en el Circonio, cada agencia de publicidad opera con un conjunto completamente diferente de TI herramientas, incluidos servidores TLS, registro de dominio y publicación de anuncios código. El propósito de las agencias de publicidad es desarrollar confianza relaciones con plataformas publicitarias legítimas. La amplia oferta de agencias permite que una agencia intervenga y reanude las operaciones de un agencia compañera una vez que los redireccionamientos forzados que empuja salen a la luz. Entonces Hasta ahora, solo 20 de los 28 se han utilizado realmente. Informe del martes enumera los nombres y las URL de las 28 agencias supuestamente falsas. Confiant declinó nombrar las 16 plataformas publicitarias que involuntariamente forjó relaciones con las agencias.
“El concepto de circonio es construir marcas de marketing independientes desde cero, en masa “, dijo la publicación del blog del martes”. la mayoría [de las agencias falsas] se lanzó en marzo / abril de 2017 según a las fechas de creación de la cuenta de Twitter. A la fecha de este escrito, ocho permanecen sin usar, listos para ser aprovechados cuando los que están actualmente explotado en seco “.
Para evadir la detección, los servidores que alojan los anuncios funcionan de manera forzada redirecciona muy selectivamente. Antes de redirigir a un usuario, los servidores intente tomar huellas digitales del navegador del individuo haciendo un balance de el agente de usuario, la dirección IP visitante, el número de CPU y si la computadora puede usar WebGL. La huella digital ayuda los servidores identifican máquinas que pueden ser utilizadas por investigadores de seguridad para que no experimenten los redireccionamientos. El circonio se basa en servidores en beginads [.] com como su puerta de enlace central para gestionar la demanda de anuncios. los Los anuncios fraudulentos pueden ser sorprendentemente efectivos. El publicado arriba utiliza una técnica descrita por primera vez por Malwarebytes para mostrar el URL autenticada de Microsoft en una estafa de soporte técnico.
Otras lecturas
Sitios de renombre afectados por una avalancha de anuncios maliciosos que propagan criptografía ransomware [Actualizado] El uso de redireccionamientos forzados ha aumentado en tres razones: 1) Los fabricantes de navegadores se han vuelto más resistentes al drive-by exploits, 2) el uso de Adobe Flash a menudo explotado para anuncios ha disminuyó, y 3) las compañías de seguridad han mejorado en la detección código de explotación en anuncios en línea.
Si bien no es tan eficaz como la publicidad maliciosa que instala ransomware y otros tipos de malware sin ingeniería social requerido, las redirecciones forzadas siguen siendo una alternativa atractiva que es También rentable. Hasta que los editores y las plataformas publicitarias mejoren organizar para eliminar grupos como el circonio, las redirecciones son probablemente seguirá siendo una amenaza común en Internet.
