A prática de inserir malware em publicidade online já é algo conhecido há anos, e o termo malvertising (publicidade maliciosa, ou malware em publicidades) foi novidade em 2007. Porém, os recentes ataques lançados por governos com a ajuda de grandes empresas de tecnologia contra as botnets somados a usuários mais atentos em relação aos ataques de phishing, os atacantes migraram sua atenção a vetores menos protegidos.
Muitos casos de malvertising foram descobertos recentemente. Existe um em particular de uma rede conhecida como “Kyle and Stan” que afeta usuários que visitam sites como o Youtube, Amazon, Yahoo, entre outros. A empresa de segurança da informação Cisco detalhou no seu blog a operação completa, que tem potencial para atacar milhões de usuários que utilizam as plataformas Windows e MAC através do uso de malware muito sofisticado e com capacidade de mutação.
Os e-mails continuam sendo um dos principais vetores de propagação de ameaças na América Latina devido aos ataques de phishing, porém graças a todo o material disponível e a conscientização que vem sendo observada na região, esse método já não tem o sucesso que tinha.
As ameaças continuam evoluindo, o que vemos agora é malvertising que não requer que o usuário clique em um link: é só visitar um site conhecido e legítimo que o usuário pode sofrer um ataque de um cibercriminoso que estuda as preferências da vítima e explora vulnerabilidades no seu ambiente.
Um típico ataque desse malware segue o seguinte padrão:
- Um usuário visita um site conhecido, como o Yahoo ou Google entre outros, que “alugam” partes de suas páginas a empresas de publicidade, que “penduram” seus ads (propaganda)
- Muita informação do usuário é revelada ao site, como a sua localização geográfica, o navegador que utiliza e seus plugins, versão de software instalado (Java, Adobe), ademais de endereço IP, endereço MAC, e outras mais
- A informação do visitante, através de um JavaScript também pode ser visualizada pela empresa de publicidade
Até aqui não vemos nada fora do comum: este é o funcionamento da Internet propriamente dita na atualidade. Os problemas começam nos próximos passos:
- As empresas de publicidade vendem os dados dos usuários a outras empresas, para que as mesmas possam criar mais publicidade, baseada nos interesses e ambientes do usuário
- As “outras empresas” muitas vezes são, na verdade, atacantes que conseguem injetar malware na publicidade, sem o conhecimento da empresa de publicidade, do site, e muito menos do usuário
- Sem clicar em nenhum link (simplesmente visitando a página), o atacante procura vulnerabilidades (nos plugins do navegador e software instalado), e ao encontrá-las, instala o malware sem que o usuário perceba (se não as encontra, nada acontece).
Muitos usuários sabem que existem vulnerabilidades em navegadores, então evitam instalar plugins; porém já foram encontrados ataques de malvertising que utilizam as mesmas técnicas definidas anteriormente em ads de aplicativos como o Skype.
Talvez a modalidade mais moderna (e perigosa) no emergente mercado de malvertising seja o real-time bidding (leilão em tempo real), processo em que a informação do usuário é oferecida a várias empresas de publicidade, que fazem seus lances segundo o perfil e entorno do usuário que visita a página. Os atacantes costumam oferecer valores mais altos, e, portanto, ter melhores probabilidades de ganhar o leilão e atacar a vítima.
Como de costume, deixaremos a seguir conselhos simples para evitar essa complexa porém evitável dor de cabeça:
- Ter um software antivírus instalado e atualizado
- Proteger as configurações avançadas do software antivírus com uma senha forte
- Ter sempre instalada a última versão do navegador utilizado para acessar a Internet
- Atualizar sempre software como Java, Adobe, etc; e fazê-lo na página legítima dessas empresas
- Evitar instalar plugins, a menos que sejam absolutamente necessários
- Ler as permissões requeridas pelos plugins antes de instalá-los
- Habilitar a função “click-to-play”, disponível em todos os navegadores, de forma que antes de executar qualquer plugin, o usuário deve permitir essa execução
Imagem: Shutterstock
Autor Ilya Lopes, ESET