Cibersegurança: malvertising está a aumentar

Herbert George Wells uma vez referiu que a publicidade é apenas uma forma legal de mentir. No entanto, na era do marketing digital em que vivemos, parece que os agentes de ameaças estão um passo mais à frente do que o escritor inglês disse e criaram uma maneira ilegal de mentir dentro da indústria da publicidade.

A publicidade online atua em três frentes: através de anunciantes que desejam promover os seus produtos ou conteúdos; editores que atribuem espaço nos seus websites e os vendem aos anunciantes; e as redes que apostam na compra de espaço publicitário e estabelecem o diálogo entre os editores e os anunciantes.

Além destas partes existem empresas que funcionam com os Ad-Networks para revender tráfego que os Ad-Networks recolhem dos editores para outros anunciantes.

A Check Point detetou uma nova campanha de malvertising que revelou uma parceria perturbante entre um agente de ameaças disfarçado como um Editor (apelidado de ‘Master134’) e vários revendedores legítimos. Estes aproveitaram-se desta relação para distribuir vários tipos de malware incluindo Banking Trojans, ransomware e bots. A alimentar todo este processo estava o influente Ad-Network, AdsTerra.
 
A investigação revelou como o Master134 redirecionou tráfego roubado de mais de 10 mil sites em WordPress e o vendeu ao AdsTerra, plataforma de publicidade real-time bidding (RTB), que por sua vez vendeu a revendedores (ExoClick, AdKernel, EvoLeads e AdventureFeeds). Estes revendedores então passavam o tráfego para o ‘Anunciante’ com o valor mais alto. No entanto, em vez do anunciante ser uma empresa legítima a vender produtos reais, estes ‘anunciantes’ eram agentes de ameaças à procura de distribuir ransomware, Banking Trojans, Bots e outros malware para o tráfego do Master134.

O malvertising não é um fenómeno recente. De acordo com um relatório da eMarketer, é esperado que o gasto digital global no mercado media chegue a $357 mil milhões até 2020. Com estes dados, não é surpresa que os cibercriminosos já perceberam a oportunidade para manipular a relação entre anunciantes e editores e receber uma parte dos investimentos de ad-spend.
 
Ao longo dos últimos 10 anos, as publicidades exibidas em websites legítimos e populares têm surgido como formas chave para os criminosos que procuram infetar utilizadores sem levantar suspeitas. Em alguns casos, as publicidades contêm códigos maliciosos que exploram vulnerabilidades não corrigidas nos browsers ou nos Plug-ins de browsers, como o Adobe Flash Player. Estas publicidades têm a capacidade de instalar ransomware, keyloggers, e outros tipos de malware onde os utilizadores apenas precisam de visitar um site que esteja a hospedar um link malicioso.
 
Como consequência direta, a utilização de ad-blockers ganhou rapidamente popularidade, onde 22% dos cidadãos do Reino Unido têm implementado. Contudo, de acordo com a Internet Advertising Bureau (IAB), este número estagnou quando os editores atuaram e bloquearam o acesso aos sites a todos quantos têm ad-blockers ativos. Por isso, em fevereiro deste ano, a Google tomou controlo do problema e juntou-se com a Coalition for Better Ads para criar um ad blocker no Google Chrome que automaticamente retira publicidades dos websites onde a qualidade não vai de encontro com os standards da indústria.
 
Desde uma perspetiva de anunciante, ou neste caso de ‘malvertisers’ (agentes de ameaças disfarçados como anunciantes), os utilizadores até podem ser considerados como alvos de acordo se têm ou não sistemas operativos ou browsers vulneráveis, e até mesmo pelo modelo dos dispositivos. Portanto, mesmo que se monitorize com muita atenção para garantir que as publicidades não têm problemas, a não ser que se faça a combinação exata de características que os malvertisers têm com alvo, as ad-networks não vão conseguir encontrar atividades maliciosas.

Desafortunadamente, não interessa quanta consciência os colaboradores das empresas tenham, ou até mesmo dos utilizadores domésticos. Devido à natureza passiva do malware a ser entregue apenas por ser carregado no ecrã do utilizador através de uma publicidade maliciosa, a atualização dos ad-blockers nunca será suficiente.

Estes ataques têm como alvo os endpoint em vez das redes informáticas, as organizações precisam de uma abordagem multicamada para que a sua cibersegurança esteja completamente segura. Não apenas das ameaças conhecidas, mas também contra malware desconhecido e ameaças zero-day, como o malvertising.