Malware oculto en Anuncios online para hacer ciberataques

Las redes de anuncios online se podrían estar usando para enrolar a millones de usuarios inconscientes para llevar a cabo ataques a otros sitios web. según una demostración llevada a cabo este mes en la Conferencia de seguridad Black Hat celebrada en Las Vegas.

 

Los investigadores Jeremiah Grossman y Matt Johansen de WhiteHat Security escenificaron un ataque sobre un servidor Web de prueba simplemente pagando a dos redes de anuncios en línea para que mostraran anuncios traicioneros en páginas visitadas por cientos de miles de personas. Los anuncios incluían un sencillo código en JavaScript que hace que el navegador que carga el anuncio también acceda repetidas veces a una imagen en el servidor de prueba.

El servidor de prueba víctima de la demostración no tardó mucho en tener problemas debido a la sobrecarga sobrevenida. Durante la primera hora de la prueba, en la que solo se gastaron 2 dólares (un euro y medio aproximadamente) en anuncios, más de 130.000 conexiones de navegadores inundaron el servidor, que no tardó mucho más en descolgarse bajo la carga creciente de visitas.

JavaScript es un lenguaje de programación común que se usa en sitios web y anuncios para todo, desde crear características interactivas, hasta para hacer un seguimiento de cuándo la gente descarga o interactúa con una página. Aunque algunas redes de anuncios no permiten que se inserte JavaScript en los anuncios, muchas otras sí lo permiten porque es un lenguaje de uso muy frecuente. Las redes que sí permiten JavaScript no lo inspeccionan demasiado de cerca, explica Johansen, y en cualquier caso sería improbable que notaran algo sospechoso en su código.

"No pirateamos a nadie; aprovechamos el funcionamiento normal de la Web para atacar a nuestro propio servidor", explicó Johansen. "Simplemente nos dedicamos a descargar imágenes lo más rápido posible".

 

El servidor de prueba no estaba protegido por las herramientas especializadas que usan algunos sitios para defenderse de los denominados ataques de negación de servicio. Sin embargo, Johansen sostiene que el bajo coste de este tipo de ataques y el alcance de las redes en línea sugiere que sería fácil escalarlo. "No cuesta tanto dinero hacer daño de verdad a sitios reales en Internet".

Johansen y Grossman trabajan ahora en una demostración más audaz: usar el mismo enfoque para emplearlo como mano de obra para descifrar contraseñas encriptadas como las que se suelen robar de servicios en línea en ataques como el que sufrió LinkedIn a principios de este año. El código JavaScript se puede usar para trabajar sobre contraseñas, y Johansen afirma que sería fácil introducir ese código en un anuncio y conseguir que los usuarios web llevaran a cabo el trabajo necesario sin ser conscientes de ello.

Johansen señala que tomando el coste típico de los anuncios en línea -unos 50 centavos de dólar (unos 37 céntimos de euro) por 1.000 visitas- con 500 dólares (unos 370 euros) tienes bastante para conseguir un millón de contribuyentes. La pareja de investigadores planea probar el ataque contra servidores Web más potentes que sí tienen instaladas protecciones contra ataques de negación de servicio.

Grossman explica que la pregunta más difícil que plantea la técnica no es cómo resolverla, sino quién es culpable de la vulnerabilidad. Al contrario que la mayoría de los nuevos ataques presentados en Black Hat, no se hace posible por un fallo de una única persona en la tecnología de la empresa. Tanto las redes de anuncios como los diseñadores de los navegadores y los protocolos web permiten este tipo de ataque, afirmó.

"¿De quién es el problema? Realmente no lo sabemos". Los usuarios engañados por un ataque de este tipo se pueden apartar de este follón usando software para bloquear anuncios y JavaScript, explica Grossman.

Jeff Debrosse, director de investigación en seguridad en la empresa de seguridad en línea Websense, se mostró menos ambiguo respecto a quién debería enfrentarse al tema. "Quienes deben poner remedio a esta posibilidad son las redes de anuncios", afirmó, señalando que esta nueva investigación demuestra que las redes de anuncios que bloquean el código a medida tienen razón al hacerlo.
  

Como los ataques hacen un uso de características de diseño legítimas de la Web, las medidas de seguridad existentes podrían tenerlo muy difícil para detectarlos, explica Debrosse. "El código JavaScript solo se ejecuta en el momento de verse el anuncio", comenta. "Si una herramienta de seguridad visita el URL cuando no está sirviendo el contenido, lo más probable es que marque el sitio como limpio".

Fuente : laflecha