Hackers pirateando servidores de anuncios, atrayendo víctimas a webs infectadas

La empresa de seguridad cibernética Confiant ha expuesto la operación de un misterioso grupo de hackers que irrumpe en los servidores de anuncios con la única intención de ejecutar anuncios maliciosos directamente desde las redes.

Un nuevo método de hackeo directo

El grupo de hackers encontró una fallo en los viejos servidores de anuncios de Revive que les permite irrumpir en las redes que se ejecutan en el servidor, informa Confiant. Una vez que obtienen acceso, adjuntan código malicioso a los anuncios existentes y ven cómo se despliegan los anuncios. Revive es un sistema de servidores de anuncios de código abierto que ha estado en funcionamiento durante más de una década. Tan pronto como un anuncio infectado entra en sitios legítimos, el código redirige inmediatamente a los visitantes del sitio a sitios web cargados de archivos infectados con malware. Estos archivos suelen estar disfrazados de actualizaciones de Adobe Flash Player. Confiant dijo que notó la tendencia el pasado agosto, y el número de ocurrencias sólo ha aumentado desde entonces. El grupo de hackers, al que Confiant llamó Tar Barnakle, ha infectado al menos 60 viejos servidores de Revive. Tag Barnakle ha cargado sus anuncios maliciosos en miles de sitios. La investigadora de confianza Eliya Stein señaló,

“Si miramos los volúmenes detrás de uno de los servidores de anuncios de RTB comprometidos — vemos picos de hasta 1.25 [millón] de impresiones de anuncios afectados en un solo día.”

Confiant también señala que el formato de operación de Tar Barnakle presenta una pequeña ruptura con la norma. La mayoría de las empresas que hacen publicidad ilícita crean entidades falsas y compran anuncios en sitios legítimos, cambiando así los códigos de los anuncios en el futuro. Estas empresas también tienen a veces la ayuda de redes publicitarias turbias que les han permitido en el pasado. Sin embargo, Tar Barnakle está eligiendo atacar los servidores de anuncios directamente.

Los ataques de phishing y malware siguen proliferando

El informe llega en la oleada de nuevos temores sobre la propagación de las estafas y los ciberataques en los Estados Unidos y varios otros países desarrollados. A raíz del coronavirus, los hackers han estado al acecho y han aumentado la escala de sus ataques de manera significativa. Actualmente, los ataques de phishing y malware parecen ser los métodos más prominentes utilizados por estos hackers. A principios de esta semana, el equipo de Inteligencia de Seguridad de Microsoft emitió una advertencia a los usuarios para que tengan en cuenta un nuevo malware “Trickbot” que se ha estado aprovechando de la pandemia. Según los investigadores, los hackers se están haciendo pasar por la “Organización de Voluntarios de EE.UU.” y el “Grupo Humanitario de EE.UU.” y están enviando correos electrónicos de phishing disfrazados de información de pruebas de coronavirus. Cada correo electrónico viene con un archivo adjunto que busca liberar el malware Trickbot en el ordenador de la víctima. Los investigadores también advirtieron que varias campañas de phishing han estado utilizando el tema del trabajo a distancia para animar a las víctimas a compartir su información personal y financiera.