H.G.Wells una volta disse che la pubblicità era semplicemente una forma legalizzata di menzogna. Nell’epoca del marketing digitale, sembra che gli hacker abbiano portato le parole dello scrittore inglese a un livello superiore, creando una forma illegale di menzogna proprio per la pubblicità online.
Un’allarmante scoperta di Check Point Research, rivela che gli attori delle minacce informatiche hanno trovato un modo nuovo e complesso per abusare dell’infrastruttura digitale del settore della pubblicità online per diffondere malware a milioni di utenti Internet in tutto il mondo. Questo metodo è noto come “malvertising” e, in questo caso, inizia con la compromissione di migliaia di siti web WordPress, coinvolge più parti dell’ecosistema della pubblicità online e termina con la distribuzione di contenuti dannosi agli utenti online di tutto il mondo.
Per coloro che non hanno familiarità con il funzionamento del settore della pubblicità online, è sufficiente comprendere che il settore si basa su tre elementi principali:
- Inserzionisti, che desiderano promuovere i propri prodotti o contenuti
- Editori, che allocano spazio sul proprio sito web, vendendolo agli inserzionisti
- Reti pubblicitarie, che fanno offerte per acquistare spazio pubblicitario e connettono gli inserzionisti agli editori.
Oltre a questi soggetti ci sono “rivenditori”. Queste aziende collaborano con le reti pubblicitarie per rivendere il traffico che quest’ultime raccolgono dagli editori su altri inserzionisti.
L’ecosistema della pubblicità online
La campagna di malvertising scoperta ha rivelato una preoccupante collaborazione tra un attore di minacce informatiche camuffato da editore (soprannominato ‘Master134’) e diversi rivenditori legittimi che sfruttano questo rapporto per distribuire una varietà di malware tra cui trojan bancari, ransomware e bot. Il fulcro dell’intero processo era la potente rete pubblicitaria, AdsTerra. Un’analisi completa di questa operazione di malvertising ben pianificata è disponibile su Check Point Research.
In breve, la ricerca ha rivelato come Master134 ha reindirizzato il traffico rubato da oltre 10.000 siti WordPress hackerati e lo ha venduto ad AdsTerra, piattaforma di real time bidding (RTB), che lo ha poi venduto ai rivenditori (ExoClick, AdKernel, EvoLeads e AdventureFeeds). Questi ultimi avrebbero poi dato questo traffico all’inserzionista che faceva l’offerta più alta. Tuttavia, l’inserzionista, anziché essere un’azienda legittima che vende prodotti veri, era proprio l’hacker Master134, che cercava di diffondere ransomware, trojan bancari, bot e altri malware.
Così facendo, i criminali informatici sfruttano a loro vantaggio il regolare ecosistema della pubblicità online, incluse le reti pubblicitarie e le piattaforme di real time bidding dei rivenditori. Riescono a farlo affiancando le proprie offerte a quelle di inserzionisti legittimi, come Nike o Coca Cola, e facendo offerte migliori, in modo che le reti pubblicitarie selezionino gli annunci che includono malware, piuttosto che gli annunci legali e regolari, da visualizzare su migliaia di siti Web.
Un’illustrazione su come gli hacker vincono l’asta a discapito di inserzionisti legittimi
Nell’esempio sopra, il pagamento può anche essere fatto in modo legittimo ai finti editori, come Master134, tramite le stesse reti pubblicitarie. In questo modo, il sistema di pagamento in questo astuto sistema viene ripulito, per gentile concessione dell’ecosistema pubblicitario online.
Inoltre, i malvertiser (gli attori delle minacce informatiche mascherati da inserzionisti) possono persino misurare il ROI della loro spesa in relazione al quanto ottenuto dal pagamento dei riscatti da parte degli utenti infetti, per sbloccare i loro file, o dal denaro drenato dai conti delle vittime, a seguito di una campagna di trojan bancari.
L’operazione malvertising orchestrata da Master134 e altri attori di minacce informatiche che hanno fatto offerte ai danni di inserzionisti legittimi
Attrazione fatale verso malvertising
Ovviamente, il malvertising non è un fenomeno nuovo. Secondo un report di eMarketer, la spesa nel mercato globale dei media digitali dovrebbe raggiungere 357 miliardi di dollari entro il 2020, non sorprende quindi che i cyber-criminali vedano, nella manipolazione del rapporto inserzionisti-editori, la possibilità di ottenere per sé stessi una fetta di torta dei ricavi inerenti la pubblicità online.
Negli ultimi dieci anni, gli annunci pubblicitari pubblicati su siti web regolari, e spesso anche popolari, sono emersi come un mezzo chiave coi quali i criminali infettano gli utenti ignari. In alcuni casi, gli annunci contengono un codice malevolo che sfrutta vulnerabilità prive di patch o i plug-in del browser, quali Adobe Flash Player. Tali annunci hanno la capacità di installare ransomware, keylogger e altri tipi di malware, tramite un semplice click dell’utente che visita un sito apparentemente non malevolo.
Come conseguenza diretta, l’uso di ad-blocker è diventato rapidamente popolare e il 22% dei cittadini britannici che li sta installando. Tuttavia, secondo l’Internet Advertising Bureau (IAB), questa percentuale si è fermata a causa di azioni intraprese dagli editori, i quali bloccano l’accesso al sito a tutti coloro che hanno attivato gli ad-blocker. Così, a febbraio di quest’anno, Google ha preso in mano la situazione e ha collaborato con Coalition for Betters Ads per attivare un ad-blocker su Google Chrome che ora automaticamente rimuove dai siti gli annunci la cui qualità non è conforme agli standard del settore. Tuttavia, l’ad-blocker di Google si occupa più di pubblicità fastidiose e intrusive che di malvertising, quindi non è la soluzione adatta per porre fine a questa forma di criminalità informatica.
Sicuramente, a causa della natura dell’ecosistema della pubblicità online, che consente agli editori di connettersi con gli inserzionisti attraverso un complesso sistema di intermediari e scambi, esistono troppe variabili di targeting pubblicitario che non consentono a Google o alle reti pubblicitarie e ai loro rivenditori di rilevare tutti gli annunci malevoli.
Come accennato in precedenza, gli inserzionisti utilizzano le piattaforme di real time bidding di rivenditori e reti pubblicitarie, per avere il diritto di mostrare i propri annunci a determinati utenti e questi annunci includono un codice JavaScript personalizzato che viene eseguito nei browser. Il contenuto che gli utenti vedono dipende da chi sono, da dove si trovano, da quali tipi di dispositivi utilizzano e da molte altre variabili. Ciò rende incredibilmente difficile per gli editori e le reti pubblicitarie riconoscere ogni versione di un annuncio dal contenuto malevolo.
Dal punto di vista dell’inserzionista, o in questo caso del “malvertiser”, gli utenti possono persino essere scelti come target in base al fatto che abbiano o meno sistemi operativi o browser privi di patch o in base a tipi di dispositivi specifici. Pertanto, anche se viene eseguita una scansione di alto livello per garantire che le creatività siano pulite, a meno che non venga individuata la combinazione esatta delle caratteristiche dei malintenzionati, le reti pubblicitarie non saranno in grado di rilevare l’attività malevola.
Avere sempre a disposizione un piano di riserva
La nostra ricerca solleva domande circa gli opportuni metodi di verifica degli annunci utilizzati nel settore della pubblicità online e il ruolo attuale delle reti pubblicitarie nell’ecosistema malvertising. In effetti, come si vede in quest’ultima analisi, sembra che queste aziende siano nel migliore dei casi manipolate e, nel peggiore dei casi, in grado di alimentare questi attacchi.
Sfortunatamente, indipendentemente da quanta consapevolezza ci sia tra i dipendenti di un’organizzazione o gli utenti privati, a causa della natura passiva del malware, che viene consegnato all’utente semplicemente tramite un annuncio malevolo, l’attenzione non sarà mai abbastanza alta.
Poiché questi attacchi sono mirati agli end-point piuttosto che alle reti, le organizzazioni hanno bisogno di un approccio di sicurezza informatica multilivello per rimanere completamente protetti non solo da minacce già note, ma anche da malware sconosciuti e minacce zero-day, come i malvertising. SandBlast Zero-Day Protection e la Mobile Threat Prevention di Check Point, ad esempio, proteggono da un’ampia gamma di attacchi, in continua evoluzione, proteggendo anche dalle varianti dei malware zero-day.
