La publicidad maliciosa (un acrónimo de "publicidad de software malicioso (malware)") es el uso de publicidad en línea para difundir malware . [1] Por lo general, implica inyectar anuncios maliciosos o cargados de malware en redes y páginas web legítimas de publicidad en línea. [2] Debido a que el contenido publicitario puede insertarse en sitios web de alto perfil y buena reputación, la publicidad maliciosa brinda a los malhechores la oportunidad de llevar sus ataques a usuarios web que de otro modo no verían los anuncios, debido a firewalls, más precauciones de seguridad o similares. [3] [4] La publicidad maliciosa es "atractiva para los atacantes porque 'puede propagarse fácilmente a través de una gran cantidad de sitios web legítimos sin comprometer directamente esos sitios web'". [5]
La publicidad maliciosa puede ser extremadamente difícil de combatir porque puede infiltrarse silenciosamente en una página web o en un anuncio en una página web y propagarse sin saberlo: "Lo interesante de las infecciones transmitidas a través de la publicidad maliciosa es que no requiere ninguna acción del usuario (como hacer clic) para comprometer el sistema y no explota ninguna vulnerabilidad en el sitio web o en el servidor en el que está alojado... las infecciones transmitidas a través de publicidad maliciosa viajan silenciosamente a través de los anuncios de las páginas web". [6] Es capaz de exponer a millones de usuarios al malware, incluso a los más cautelosos, y está creciendo rápidamente: "En 2012, se estimó que casi 10 mil millones de impresiones de anuncios se vieron comprometidas por la publicidad maliciosa". [2] Los atacantes tienen un alcance muy amplio y pueden realizar estos ataques fácilmente a través de redes publicitarias. Las empresas y los sitios web han tenido dificultades para disminuir el número de ataques de publicidad maliciosa, lo que "sugiere que no es probable que este vector de ataque desaparezca pronto". [5]
El troyano AIDS o PC Cyborg Ransomware fue el primer malware creado para extorsionar y se documentó en 1989. Se lanzó en un disquete y podía reemplazar el archivo AUTOEXEC.BAT en el sistema. Según las fuentes, el ransomware se lanzó durante la conferencia sobre el SIDA de la Organización Mundial de la Salud en 1989. Se distribuyó a 20.000 médicos e investigadores del SIDA que asistieron a la conferencia. [7]
Cuando los sitios web o los editores web, sin saberlo, incorporan anuncios corruptos o maliciosos en su página, las computadoras pueden infectarse antes y después del clic. Es un error pensar que la infección sólo ocurre cuando los visitantes comienzan a hacer clic en un anuncio malicioso. "Ejemplos de malware previo al clic incluyen la incrustación en scripts principales de la página o descargas automáticas. El malware también puede ejecutarse automáticamente, como en el caso de las redirecciones automáticas, donde el usuario es llevado automáticamente a un sitio diferente (sin interacción del usuario, como hacer clic en ellos), que podría ser malicioso, también se puede encontrar en la entrega de un anuncio, mientras que un anuncio limpio que no tiene malware antes o después del clic (en su construcción y diseño) aún puede ser encontrado. infectarse mientras se le llama. [8] El código malicioso puede ocultarse sin ser detectado y el usuario no tiene idea de lo que se le avecina. Un ejemplo de publicidad maliciosa posterior al clic: "el usuario hace clic en el anuncio para visitar el sitio anunciado y, en cambio, se infecta directamente. o redirigido a un sitio malicioso. Estos sitios engañan a los usuarios para que copien virus o software espía, generalmente disfrazados de archivos Flash, que son muy populares en la web". [9] La redirección a menudo está integrada en la publicidad en línea, y esta propagación de malware suele tener éxito porque los usuarios esperan que se produzca una redirección. al hacer clic en un anuncio, basta con cooptar una redirección que se está produciendo para infectar el ordenador del usuario [1] .
La publicidad maliciosa afecta a cada parte de la cadena de publicidad digital de manera diferente. Desde las plataformas hasta los editores, y hasta el usuario final que puede haber sido víctima de un ataque de publicidad maliciosa, todos se ven afectados. [10] La publicidad maliciosa a menudo implica la explotación de empresas confiables. Aquellos que intentan difundir malware primero colocan anuncios "limpios" en sitios confiables para ganar una buena reputación, luego "insertan un virus o software espía en el código detrás del anuncio y, después de que se produce una infección masiva de virus, eliminan el virus", infectando así a todos los visitantes del sitio durante ese período de tiempo. Las identidades de los responsables suelen ser difíciles de rastrear, lo que dificulta prevenir los ataques o detenerlos por completo, porque la "infraestructura de la red publicitaria es muy compleja con muchas conexiones vinculadas entre los anuncios y los destinos de clic". [9]
Algunos anuncios maliciosos pueden infectar una computadora vulnerable incluso si el usuario nunca hace clic en el anuncio (de apariencia normal). [11]
Los primeros avistamientos registrados de publicidad maliciosa fueron a finales de 2007 y principios de 2008. La amenaza se basó en una vulnerabilidad en Adobe Flash (algo que continuó hasta finales de la década de 2010 [12] ) y afectó a varias plataformas, incluidas MySpace , Excite y Rhapsody. En 2009, se descubrió que la edición en línea de The New York Times Magazine publicaba un anuncio que era parte de una estafa de fraude de clics más grande que creó una red de botnets de computadoras infectadas con malware, apodada botnet Bahama, que luego pasó a ser Se utiliza para llevar a cabo fraude de clics en anuncios de pago por clic en toda la web. El banner del New York Times fue pirateado durante el fin de semana del 11 al 14 de septiembre, lo que provocó que algunos lectores vieran anuncios que les decían que sus sistemas estaban infectados y que intentaban engañarlos para que instalaran software de seguridad fraudulento en sus computadoras. Según la portavoz Diane McNulty, "el culpable se acercó al periódico como anunciante nacional y había proporcionado anuncios aparentemente legítimos durante una semana", y posteriormente los anuncios se cambiaron a publicidad maliciosa de alerta de virus. Luego , el New York Times suspendió los anuncios de terceros para abordar el problema e incluso publicó consejos para los lectores sobre este tema en su blog de tecnología. [13]
En 2010, la publicidad maliciosa despegó. Los analistas de marketing ClickZ [14] señalaron que Online Trust Alliance (OTA) identificó miles de millones de anuncios gráficos en 3500 sitios que contenían malware. Ese mismo año, Online Trust Alliance [15] formó un grupo de trabajo anti-publicidad maliciosa intersectorial. En 2011, Spotify sufrió un ataque de publicidad maliciosa que utilizó el kit de explotación Blackhole ; este fue uno de los primeros casos de descarga no autorizada, en la que un usuario ni siquiera tiene que hacer clic en un anuncio para infectarse con malware. Symantec añadió la publicidad maliciosa como una sección en su Informe sobre amenazas a la seguridad en Internet 2013 en 2012. [16] Symantec utilizó software de escaneo en una serie de sitios web y detectó que la mitad de ellos estaban infectados con publicidad maliciosa. En 2012, Los Angeles Times sufrió un ataque masivo de publicidad maliciosa que utilizó el kit de explotación Blackhole para infectar a los usuarios. Fue visto como parte de una campaña general de publicidad maliciosa dirigida a los grandes portales de noticias; esta estrategia continuó en los años siguientes con ataques a huffingtonpost.com y The New York Times . La creciente intensidad de la publicidad maliciosa continuó en 2013, cuando se llevó a cabo una importante campaña de publicidad maliciosa contra Yahoo.com , una de las mayores plataformas publicitarias con visitas mensuales de 6.900 millones. El exploit de malware se basó en el ataque web comúnmente utilizado, Cross-site scripting (XSS), número tres entre los diez principales tipos de ataques web identificados por el Open Web Application Security Project [17] (OWASP). El ataque infectó las máquinas de los usuarios con el ransomware Cryptowall, un tipo de malware que extorsiona a los usuarios cifrando sus datos y pagando un rescate de hasta 1.000 dólares en bitcoins, a pagar en siete días, para descifrar los datos. En 2014, hubo importantes campañas de publicidad maliciosa en las redes publicitarias DoubleClick y Zedo . Varios portales de noticias, incluidos The Times of Israel y Hindustan Times , se vieron afectados. Como en ataques anteriores, el ciberdelito involucró a Cryptowall como infección de malware. Se creía que esta avalancha de publicidad maliciosa había generado más de 1 millón de dólares en dinero de rescate al infectar más de 600.000 computadoras. [18]
Según el Informe de amenazas de febrero de 2015 de McAfee , la publicidad maliciosa comenzaba a crecer rápidamente en plataformas móviles a finales de 2014 y principios de 2015. [19] Además, en 2015, hubo campañas de publicidad maliciosa en eBay , Answers.com , talktalk.co.uk y wowhead.com, entre otros. Las campañas involucraron violaciones de redes publicitarias, incluidas DoubleClick y engagement:BDR. También hubo un informe de posiblemente la primera campaña de "publicidad política maliciosa" por parte de activistas prorrusos, que se basaba en una botnet, que luego obligaba a las máquinas de los usuarios a visitar sitios falsos que generaban ingresos publicitarios para los activistas. Los usuarios también terminaron viendo varios vídeos de propaganda prorrusa. [20]
En 2021, se detectó que la banda de ransomware REvil utilizaba posicionamiento pago en los resultados de búsqueda de Google para entregar archivos maliciosos a las víctimas. [21] En muchas plataformas publicitarias y sitios de redes sociales se han visto campañas de publicidad maliciosa en efectivo o obsequios de criptomonedas con actores disfrazados de figuras populares, incluidos YouTuber MrBeast , Elon Musk y otros. [22] [23] En 2022, surgieron informes sobre publicidad nativa en la búsqueda de Google haciéndose pasar por varias páginas de descarga de software (a menudo de código abierto ), lo que llevó a los usuarios a descargar ransomware , ladrones de información o redirigirlos a estafas de soporte técnico [24] [25] [26]
Varios sitios web populares y fuentes de noticias han sido víctimas de publicidad maliciosa y se les han colocado anuncios maliciosos en sus páginas web o widgets sin saberlo, incluidos Horoscope.com, The New York Times , [27] la Bolsa de Valores de Londres , Spotify y The Onion . [5]
Al visitar sitios web afectados por publicidad maliciosa, los usuarios corren el riesgo de infección. Existen muchos métodos diferentes que se utilizan para inyectar anuncios o programas maliciosos en páginas web:
Hay varias precauciones que las personas pueden tomar para reducir las posibilidades de ser engañadas por estos anuncios. Los programas de uso común, como Adobe Flash Player y Adobe Reader, pueden explotar sus fallas y se vuelven vulnerables a ataques, por lo que es importante evitarlos o al menos mantenerlos actualizados. [33] Los usuarios también pueden descargar software antivirus que protege contra amenazas y elimina software malicioso de sus sistemas. Los usuarios también pueden presionar a las empresas y sitios web para que escaneen los anuncios antes de activarlos en sus páginas web. [2] Los usuarios también pueden utilizar software de bloqueo de anuncios para evitar descargar el malware contenido en los anuncios [34] o una extensión específica del navegador que alerta sobre campañas de publicidad maliciosa. [35]