Campanha de Publicidade Massiva no Principal Fornecedor de Anúncios Usada para Modificar as Configurações de DNS do Roteador
A publicidade é um mal necessário que os webmasters e os proprietários de sites devem considerar para sobreviver, considerando que é assim que a maioria dos sites ganha dinheiro. Quase todo e qualquer site respeitável tem alguma forma de publicidade que, ultimamente, utiliza grandes fornecedores de anúncios para distribuir anúncios adequados para qualquer site. Em explorações recentes de redes e fornecedores de publicidade, os cibercriminosos conseguiram alavancar anúncios de serviços de terceiros para exibir anúncios maliciosos, eventualmente servindo um desagradável coquetel de malware para os usuários que clicam neles.
Malvertising, um termo relativamente novo que se tornou sinônimo da descrição de anúncios maliciosos na Internet, é a principal característica dos cibercriminosos em suas habilidades de atacar fornecedores e redes de anúncios com anúncios maliciosos de terceiros. Essas campanhas publicitárias variaram de um extremo ao outro, e as explorações de malvertising mais recentes são aquelas que fornecem uma carga maliciosa que altera as configurações de DNS do roteador.
Esse esquema recente de publicidade maliciosa, observado pela empresa de segurança na Internet Sucuri, descobriu que os criminosos injetavam uma carga útil nos anúncios que eles veiculam, que são posteriormente entregues aos sites pelo domínio googlesyndication.com. O método de entrega é bastante inteligente e, por razões óbvias, não existe nada para detectar imediatamente os anúncios maliciosos por meio desse método de entrega e por uma fonte confiável - googlesyndication.com.
Ao analisar a URL dos anúncios maliciosos, a Sucuri descobriu que o autor codificava o código para ocultar suas ameaças. A tarefa de decodificar o código dos anúncios mal-intencionados passou por 2.716 caracteres em branco antes de encontrar algo malicioso. Essa tarefa assustadora ficou evidente quando os autores do anúncio malicioso tentaram descaradamente evitar a detecção.
Ao se aprofundar no código, é revelado onde a carga maliciosa tem a tendência de alterar as configurações DNS do roteador doméstico do usuário do computador e forçar uma reinicialização. A execução desse processo pode permitir que o acesso remoto force o sistema afetado a exibir conteúdo arbitrário pela Internet. De qualquer forma, a manipulação e a alteração das configurações de DNS por meio de um roteador doméstico podem levar a muitos problemas que um usuário de computador desconhece até que os danos sejam causados.
A localização do servidor de DNS usado neste ataque recente foi encontrada em Los Angeles, Califórnia. No momento da identificação, ele não estava servindo IPs maliciosos ativamente, o que pode significar que está aguardando ser usado por cibercriminosos. Ainda assim, ao clicar em anúncios, independentemente do site, é melhor que os usuários de computador utilizem cautela e retenham um aplicativo anti-vírus ou anti-spyware atualizado.