El ecosistema de publicidad digital se ha convertido en un campo de caza principal para los ciberdelincuentes, que están explotando cada vez más a las compañías de tecnología publicitaria para distribuir malware y realizar campañas maliciosas.
En lugar de simplemente abusar de las plataformas legítimas, los actores de amenaza ahora operan como las plataformas mismas, creando una sofisticada red de engaño que aprovecha la complejidad y fragmentación inherentes de la cadena de suministro ADTech para evitar la responsabilidad.
Investigaciones recientes han descubierto una operación masiva que involucra a Vane Viper, un actor de amenaza que ha aparecido en aproximadamente la mitad de las redes de clientes monitoreadas por investigadores de seguridad, generando aproximadamente un billón de consultas DNS durante el año pasado.
Esta operación se beneficia de cientos de miles de sitios web comprometidos y anuncios colocados estratégicamente en los juegos, compras y blogs de todo el mundo.
La infraestructura del actor abarca aproximadamente 60,000 dominios, lo que representa solo una fracción del ecosistema malicioso más amplio que controlan.
La sofisticación de esta campaña se encuentra en su estructura corporativa cuidadosamente construida diseñada para la negación plausible.
Las presentaciones corporativas trazan Vane Viper a Adtech Holding, una compañía con sede en Chipre cuya subsidiaria insignia, Propellerads, opera como una red publicitaria y un corredor de tráfico.
Relaciones clave de la empresa (fuente – infoBlox)
Investigadores de infoBlox identificado Evidencia convincente que sugiere que Propellerads ha pasado más allá de simplemente hacer la vista gorda ante el abuso criminal de su plataforma, con indicadores que apuntan a varias campañas de fraude publicitarias que se originan directamente de la infraestructura atribuida a la empresa.
La operación de malvertimiento emplea un complejo sistema de distribución de tráfico (TDS) que enruta a los usuarios a través de múltiples capas de redirección antes de entregar cargas útiles maliciosas.
Este enfoque permite a los actores servir contenido legítimo a herramientas de seguridad automatizadas al tiempo que dirige a los usuarios humanos a destinos maliciosos.
El alcance de la campaña se extiende más allá de la distribución tradicional de malware, que abarca sitios de compras falsos, extensiones de navegador fraudulentas, estafas de encuestas y contenido para adultos diseñado para maximizar las ganancias del tráfico comprometido.
Push Notificación Mecanismo de persistencia
El aspecto más insidioso de la operación de Vane Viper implica el abuso de las notificaciones de empuje del navegador para lograr un acceso persistente a los dispositivos de víctimas.
La campaña utiliza trabajadores de servicios maliciosos, archivos JavaScript que interceptan las solicitudes de red entre aplicaciones web y servidores, para manipular el comportamiento del navegador y mantener el acceso a largo plazo a los sistemas comprometidos.
Propellerads que se muestran dónde se sientan en el ecosistema de publicidad digital (fuente – infoBlox)
Estos trabajadores de servicios emplean técnicas de encadenamiento de script para abusar de las notificaciones push, y el elemento más preocupante es su uso de la función eval () para ejecutar contenido arbitrario obtenido de URL remotas.
La URL remota está determinada por dominios codificados dentro del trabajador de servicio, creando un mecanismo de control y control dinámico que puede adaptarse a los requisitos operativos cambiantes.
Una vez que los usuarios aceptan notificaciones push, sus dispositivos se convierten en parte de una red de malvertición persistente, lo que permite un flujo continuo de anuncios maliciosos.
La operación demuestra una notable resiliencia a través de su estrategia de gestión de dominios, recorriendo miles de dominios recién registrados cada mes mientras mantiene dominios de notificación push clave durante años.
El análisis revela que la mayoría de los dominios operativos permanecen activos durante menos de un mes, con recuentos de registro que alcanzan los 3.500 dominios en los meses pico, mientras que los dominios de infraestructura central como Omnatuor.com, Propeller-Tracking.com y varios servicios de notificación push, incluidos in-Page-Push.com y Pushimg.com, han mantenido las operaciones durante más de 1,200 días, lo que garantiza la continuidad operativa a pesar de los intentos de demanda.
¡Webinar gratuito en vivo en nuevas tácticas de malware de nuestros analistas! Aprenda técnicas de detección avanzada -> Regístrese gratis
