Check Point Research ha rivelato che per diffondere malware tra gli utenti viene utilizzato il malvertising, che coinvolge l’ecosistema della pubblicità online.
Il settore della pubblicità online si basa su tre elementi principali: -inserzionisti, che desiderano promuovere i propri prodotti o contenuti; -editori, che allocano spazio sul proprio sito web, vendendolo agli inserzionisti; -reti pubblicitarie, che fanno offerte per acquistare spazio pubblicitario e connettono gli inserzionisti agli editori.
Oltre a questi soggetti ci sono i “rivenditori”, che collaborano con le reti pubblicitarie per rivendere il traffico che quest’ultime raccolgono dagli editori su altri inserzionisti.
L’ecosistema della pubblicità online
La campagna di malvertising scoperta ha rivelato una collaborazione tra un attore di minacce informatiche camuffato da editore (Master134) e diversi rivenditori legittimi, che distribuiscono diversi malware, tra cui trojan bancari, ransomware e bot.
Il fulcro dell’intero processo la rete pubblicitaria AdsTerra Master134 ha reindirizzato il traffico rubato da oltre 10.000 siti WordPress hackerati e lo ha venduto ad AdsTerra, che lo ha poi venduto ai rivenditori (ExoClick, AdKernel, EvoLeads e AdventureFeeds). Questi ultimi avrebbero poi dato questo traffico all’inserzionista che faceva l’offerta più alta. Tuttavia, l’inserzionista, anziché essere un’azienda legittima che vende prodotti veri, era proprio l’hacker Master134, che cercava di diffondere i malware.
Così facendo, i criminali informatici sfruttano a loro vantaggio il regolare ecosistema della pubblicità online, incluse le reti pubblicitarie e le piattaforme di real time bidding dei rivenditori. Riescono a farlo affiancando le proprie offerte a quelle di inserzionisti legittimi facendo offerte migliori, in modo che le reti pubblicitarie selezionino gli annunci che includono malware, piuttosto che gli annunci legali, da visualizzare su migliaia di siti.
Secondo eMarketer, la spesa nel mercato globale dei media digitali dovrebbe raggiungere 357 miliardi di dollari entro il 2020, non sorprende quindi che i cyber-criminali vedano la possibilità di fare affari. Come conseguenza diretta, l’uso di ad-blocker è diventato popolare. Sicuramente, a causa della natura dell’ecosistema della pubblicità online, che consente agli editori di connettersi con gli inserzionisti attraverso un complesso sistema di intermediari e scambi, esistono troppe variabili di targeting pubblicitario che non consentono a Google o alle reti pubblicitarie e ai loro rivenditori di rilevare tutti gli annunci malevoli.
Come accennato in precedenza, gli inserzionisti utilizzano le piattaforme di real time bidding di rivenditori e reti pubblicitarie, per avere il diritto di mostrare i propri annunci a determinati utenti e questi annunci includono un codice JavaScript personalizzato che viene eseguito nei browser. Il contenuto che gli utenti vedono dipende da chi sono, da dove si trovano, da quali tipi di dispositivi utilizzano e da molte altre variabili. Ciò rende difficile per gli editori e le reti pubblicitarie riconoscere ogni versione di un annuncio dal contenuto malevolo.
Dal punto di vista dell’inserzionista, o in questo caso del “malvertiser”, gli utenti possono persino essere scelti come target in base al fatto che abbiano o meno sistemi operativi o browser privi di patch o in base a tipi di dispositivi specifici. Pertanto, anche se viene eseguita una scansione di alto livello per garantire che le creatività siano pulite, a meno che non venga individuata la combinazione esatta delle caratteristiche dei malintenzionati, le reti pubblicitarie non saranno in grado di rilevare l’attività malevola.
Come difendersi
La ricerca di Check Point Research solleva domande circa I metodi di verifica degli annunci utilizzati nel settore della pubblicità online e il ruolo delle reti pubblicitarie nell’ecosistema malvertising. In effetti, come si vede in quest’ultima analisi, sembra che queste aziende siano nel migliore dei casi manipolate e, nel peggiore dei casi, in grado di alimentare questi attacchi. Poiché questi attacchi sono mirati agli end-point piuttosto che alle reti, le organizzazioni hanno bisogno di un approccio di sicurezza informatica multilivello per rimanere completamente protetti non solo da minacce già note, ma anche da malware sconosciuti e minacce zero-day, come i malvertising. SandBlast Zero-Day Protection e la Mobile Threat Prevention di Check Point, ad esempio, proteggono da un’ampia gamma di attacchi, in continua evoluzione, proteggendo anche dalle varianti dei malware zero-day.
