Campanha de Publicidade Maliciosa da AdGholas Infecta Milhares e Visa Milhões a Cada Dia
A publicidade maliciosa, ou o que é conhecido na comunidade de segurança de computadores como Malvertising, tem sido uma grande preocupação para os usuários de computadores que encontram inúmeros pop-ups, redirecionamentos e links patrocinados ao navegar na Internet todos os dias. De acordo com os pesquisadores de segurança da Proofpoint e Trend Micro, uma campanha específica de malvertising é conhecida por infectar milhares de computadores com algum tipo de malware e atingir milhões em um determinado dia.
A campanha de malvertising em questão foi descoberta em outubro de 2015, quando a Proofpoint e a Trend Micro estavam investigando outros ataques de malvertising generalizados. A campanha descoberta, codinome AdGholas, foram ações que utilizavam técnicas sofisticadas e agressivas para evitar a detecção. Além disso, a campanha teve êxito no ataque a 22 redes de anúncios, conhecidas por exibir inúmeros anúncios em vários sites legítimos e grandes.
É uma prática comum os invasores de malvertising comprometerem alguns aspectos de uma rede de publicidade legítima, para que eles possam enviar anúncios maliciosos para sites legítimos. No caso da campanha AdGholas, descobriu-se que os invasores usavam scripts de impressão digital caseiros que exibiam anúncios que, se clicados, redirecionariam os usuários diretamente para seus próprios sites maliciosos.
O uso de controles de filtragem de tráfego das plataformas de publicidade permitiu que os atacantes ajustassem seus alvos e entregassem apenas anúncios maliciosos para aqueles que estavam interessados em segmentar. Através da pesquisa da Proofpoint e Trend Micro, os especialistas em segurança foram capazes de determinar que os atacantes de malvertising procuravam usuários que executavam versões OEM do Windows, potencialmente permitindo que a campanha passasse despercebida ao filtrar sistemas que de outra forma notariam os anúncios.
O malware usado na campanha de malvertising da AdGholas variou de vários tipos diferentes de ameaças. Os invasores aproveitaram os kits de exploração populares Angler e Neutrino para atender ao malware, que são duas das matrizes de propagação mais populares para malware deste ano. A Proofpoint identificou o malware como Gootkit para sistemas localizados na Espanha, Terdot.A para sistemas na Austrália e Grã-Bretanha e Gozi ISFB para sistemas localizados no Canadá. Enquanto eles faziam parte do malware da campanha AdGholas que os pesquisadores identificaram, muitos outros estão na mistura, visando outras regiões do mundo.
Quanto aos sites segmentados especificamente para a campanha de publicidade maliciosa do AdGholas, havia muitos na lista de 113 sites legítimos que são sites bastante grandes e de alto tráfego. Alguns dos anúncios maliciosos foram veiculados em redes de anúncios que alimentam anúncios em sites como The Verge, CBS Sports, PCMag, Sky.com, The New York Times, IBTimes, Telegraaf, ArsTechnica, Answers.com e até Playboy.com. Ao atingir esses sites com altos valores de tráfego, o número de sistemas segmentados por dia é superior a um milhão e até agora infectou milhares por dia desses sites que, sem saber, exibiam anúncios maliciosos.
O uso de kits de exploração gera alguma incerteza no panorama completo de novas e agressivas campanhas de malvertising. Embora, mesmo com os kits de exploração raramente sendo desativados e revividos, de alguma forma os invasores possam aproveitar todo o potencial dos kits de exploração para continuar criando e espalhando malware por meio de redes de anúncios. A chave para o sucesso recente de esquemas de malvertising como o AdGholas, são as ações judiciosas de seus autores para manter suas ações furtivas e atingir apenas sistemas que não revelam seus segredos ou identificam rapidamente o caminho para a entrega de anúncios maliciosos.