immagine-preview

Set 6, 2018

Malvertising: la minaccia corre sulle pubblicità. Come difendersi

Dall’ultima scoperta sulla minaccia malvertising alla distinzione fra le pubblicità fraudolente scopriamo incidenza e mezzi di protezione

Il malicious advertising ovvero l’uso delle pubblicità online per diffondere malware, non è del tutto nuovo, ma le tecniche ad esse legate si sono evolute con una incidenza crescente, fino allo sviluppo dell’ultimo, complesso e laborioso sistema di sfruttamento dell’infrastruttura digitale abilitante fra chi propone piattaforme di advertising e chi ne fa uso, ai fini della diffusione di malware.

 

Inoltre, non tutte le pubblicità sono ovviamente fraudolente, ma distinguere fra quelle che effettivamente veicolano malware, quelle che invece raccolgono dati utente in modo nascosto e quelle legittime che sembrano fraudolente, potrebbe non sembrare semplice. Vale sempre che la comprensione della minaccia aiuti a proteggersi.

Incidenza del malvertising

 

Secondo un report di eMarketer, la spesa nel mercato globale dei media digitali dovrebbe raggiungere 357 miliardi di dollari entro il 2020 e i cyber-criminali vedono l’opportunità di sfruttare e manipolare il rapporto inserzionisti-editori per ottenere per se stessi una fetta di torta dei ricavi inerenti la pubblicità online, tanto che negli ultimi dieci anni, gli annunci pubblicitari pubblicati su siti web regolari, e spesso anche popolari, sono emersi come un mezzo chiave coi quali i criminali infettano gli utenti ignari.

 

In alcuni casi, gli annunci contengono un codice malevolo che sfrutta vulnerabilità prive di patch o i plug-in del browser, quali Adobe Flash Player. Tali annunci hanno la capacità di installare ransomware, keylogger e altri tipi di malware, tramite un semplice click dell’utente che visita un sito apparentemente non malevolo.

Come conseguenza diretta, l’uso di software che bloccano le pubblicità ovvero gli ad-blocker è diventato molto diffuso, ad esempio nel regno Unito si era arrivati al 22% di installazione fino a che, secondo l’Internet Advertising Bureau (IAB), questa percentuale si è fermata a causa di azioni intraprese dagli editori, che bloccano l’accesso al sito a tutti coloro che hanno attivato gli ad-blocker.

 

Quindi il problema rimane e sembra assumere dimensioni preoccupanti. L’11 giugno l’azienda Cofiant dichiara di aver bloccato il più grande reindirizzamento di malware di un giorno mai visto. L’attacco sembra essere durato più di 7,5 ore con valori pari a 650.000 elementi dannosi, bloccati ogni ora, che cercavano di reindirizzare l’utente a un sito in cui sarebbe stato installato malware. Più di un quarto dei clienti publisher di Cofiant è stato colpito solo da questo attacco. Ancora a luglio Cofiant afferma di aver protetto oltre 25 miliardi di risorse online da malware malevoli e fraudolenti su circa 2.200 siti. L’attacco era focalizzato sugli utenti di dispositivi mobili negli Stati Uniti distribuiti su sistemi iOS per un 66% e su Android per un 34%. Ha inoltre avuto un impatto su oltre l’1,84% del traffico negli Stati Uniti che non era protetto da Confiant.

L’ultima tecnica di attacco scoperta

 

La campagna di malvertising emersa ad inizio agosto ha presentato un modo “innovativo” per diffondere malware sfruttando il meccanismo organizzativo e procedurale dell’infrastruttura digitale del settore della pubblicità online, per danneggiare milioni di utenti Internet in tutto il mondo (Fonte Check Point). L’attore malevolo si è presentato camuffato da editore, con il soprannome di ‘Master134’ a diversi rivenditori legittimi e ha sfruttato questo rapporto per distribuire una varietà di malware tra cui trojan bancari, ransomware e bot, utilizzando come fulcro dell’intero processo la rete pubblicitaria AdsTerra.

 

Master134 ha reindirizzato il traffico rubato da oltre 10.000 siti WordPress hackerati e lo ha venduto ad AdsTerra, piattaforma di Real Time Bidding (RTB), che lo ha poi venduto ai rivenditori (ExoClick, AdKernel, EvoLeads e AdventureFeeds). Questi ultimi avrebbero poi dato questo traffico all’inserzionista che faceva l’offerta più alta. Tuttavia, l’inserzionista, anziché essere un’azienda legittima che vende prodotti veri, era proprio l’hacker Master134, che cercava di diffondere ransomware, trojan bancari, bot e altri malware.

 

Nell’esempio il pagamento poteva anche essere fatto in modo legittimo ai finti editori, come Master134, tramite le stesse reti pubblicitarie. In questo modo, il sistema di pagamento in questo astuto sistema veniva ripulito, per gentile concessione dell’ecosistema pubblicitario online.

Con questo sistema i malvertiser, ovvero gli attori delle minacce informatiche mascherati da inserzionisti, sono stati anche in grado misurare il ROI della loro spesa in relazione a quanto ottenuto dal pagamento dei riscatti da parte degli utenti infetti, per sbloccare i loro file, o dal denaro drenato dai conti delle vittime, a seguito di una campagna di trojan bancari.

I criminali informatici hanno quindi sfruttato a proprio vantaggio il regolare ecosistema della pubblicità online, incluse le reti pubblicitarie e le piattaforme di real time bidding dei rivenditori. Il metodo ha permesso di affiancare le offerte malevole a quelle di inserzionisti legittimi, come Nike o Coca Cola facendo offerte migliori, in modo che le reti pubblicitarie selezionassero gli annunci che includevano malware, piuttosto che gli annunci legali e regolari, visualizzati su migliaia di siti Web.

 

La distinzione fra i tipi di pubblicità

Kaspersky Lab in tema di malvertising ha distinto le pubblicità online suddividendole in tre tipologie:

Le pubblicità dannose si riconoscono perché ridirigono gli utenti a siti web capaci di infettare il visitatore sia a mezzo malware sia installando software non voluto. Gli utenti con sistema operativo e browser non aggiornati sono particolarmente vulnerabili a questo genere di infezioni. Il malware veicolato può essere di vario genere, un keylogger che ruba le credenziali di login o altri dati sensibili facendo cadere gli utenti in una botnet spam, un trojan banking, una falsa applicazione antivirus, un ransomware come CryptoLocker o qualsiasi altro tipo di malware.

 

Le pubblicità possono poi essere non veramente dannose, ma considerate tali perché carpiscono dati dell’utente in modo non esplicito, raccogliendole clandestinamente o installano software senza il consenso esplicito.

 

L’ultimo tipo di pubblicità legittima, ma che sembra fraudolenta, è quella ingannevole relativa agli annunci “da imbonitore”, quelli ad esempio su prodotti miracolosi, lavori dagli stipendi elevatissimi a fronte di poco tempo da investire.

 

Difesa e protezione

Dopo la awareness sulla minaccia è necessario passare alla protezione e lato utente si tratta soprattutto di innalzare l’allerta e l’attenzione su cosa si clicca, ma poi è necessario dotarsi di strumenti appositi, come l’installazione di un antivirus e di un ad-blocker e ricordarsi di aggiornare sempre i browser per la risoluzione a mezzo patching delle vulnerabilità note.

Sul fronte degli addetti ai lavori invece, rilevare gli annunci malevoli non è semplice e sebbene la stessa Google da febbraio avesse tentato di risolvere collaborando con Coalition for Betters Ads per attivare un ad-blocker su Google Chrome, questo strumento riesce ad eliminare pubblicità fastidiose e intrusive, ma non è la soluzione adatta contro il malvertising.

Infatti, la natura dell’ecosistema della pubblicità online, che consente agli editori di connettersi con gli inserzionisti attraverso un complesso sistema di intermediari e scambi, non consente di rilevare tutti gli annunci malevoli a monte o durante il processo: ci sono troppe variabili in gioco ed editori e reti pubblicitarie non possono riconoscere in ogni versione di un annuncio se abbia contenuto malevolo. In questo caso la consapevolezza dei dipendenti delle agenzie pubblicitarie non è efficace materialmente e quindi, poiché il target di compromissione è l’end point, si dovrebbero adottare approccio di sicurezza informatica multilivello integrata con un sistema di Threat Detection e Prevention in grado di difendere da minacce note e da quelle non note, come il malvertaising, che sono in continua evoluzione (minacce zero-day).

 

Approfondimenti

Per ulteriori informazioni su come prevenire le minacce zero-day, è possibile scaricare il white paper di Check Point.

Rimani sempre aggiornato sui
temi di StartupItalia!
iscriviti alla newsletter