A prática de injetar malware em publicidade já é conhecida há muitos anos, mas o termo malvertising (publicidade maliciosa) ficou em evidência nas últimas semanas. Acontece que devido a recente operação de governos e grandes empresas contra as botnets e com usuários mais atentos às campanhas de phishing, os atacantes migraram sua atenção para vetores menos protegidos.
Ao falar sobre códigos maliciosos inseridos em publicidades, talvez o velho e conhecido adware venha à cabeça. Para entender um pouco melhor a diferença entre este último e o malvertising, que também não é algo novo: foi uma novidade em 2007 - vejamos as seguintes definições:
Adware
O Adware é um programa que não costuma ser malicioso em quanto a causar danos no computador do usuário. O próprio termo vem das palavras “advertisement” (anúncio, em inglês) e software.
Normalmente é instalado sem o conhecimento do usuário e um clássico exemplo são as toolbars (barras de ferramentas) que contêm anúncios que surgem "do nada" e, de fato, são baixadas em pacotes de instalação de diferentes software - e são muito difíceis de remover sem uma solução de segurança. É interessante notar que muitas vezes o usuário tem a opção de baixar ou não tais ferramentas.
Malvertising
Programa malicioso que está escondido em anúncios publicitários de páginas. Atualmente não é necessário que um usuário faça o download ou clique em um anúncio para ser infectado, basta ter plugins ou software desatualizados (e não ter uma solução de segurança), e visita uma página infectada. Se um atacante tem acesso aos dados de navegação da vítima, o que normalmente é possível, tentará explorar qualquer vulnerabilidade no computador.
Muitos casos de malvertising têm sido relatados recentemente; um dos mais ressonantes, da rede conhecida como "Kyle and Stan", afeta os usuários que visitam sites como o Youtube, Amazon e Yahoo, entre outros. A empresa de segurança da informação Cisco detalha em seu blog toda a operação, que tem o potencial para atacar milhões de usuários que utilizam as plataformas Windows e Mac OS X com o malware avançado que também tem a capacidade de mutação.
Talvez o modo mais novo (e perigoso) no crescente mercado de malvertising é o real-time bidding (leilão em tempo real), um processo em que as informações do usuário são fornecidas para várias empresas de publicidade que fazem seus lances segundo o perfil do ambiente. Os atacantes muitas vezes oferecem valores mais elevados e, portanto, têm melhores chances de realizar o golpe.
Ataques de malware x Casos de malvertising
Tipicamente, um ataque de malware segue o seguinte padrão:
- Um usuário visita um site conhecido como o Yahoo ou o Google e outros que "alugam" partes de suas páginas para as empresas de publicidade, que "travam" os seus ads (anúncios).
- Muitas informações do usuário são reveladas ao site, como sua localização geográfica, navegador utilizado e seus plugins, versão de software instalado (Java, Adobe), além de endereço IP, endereço MAC, e outros.
- As Informações do visitante também podem ser exibidos, através de JavaScript, pela empresa de publicidade.
Até agora não é possível ver nada fora do comum: este é o funcionamento da Internet hoje em dia. Os problemas começam com os próximos passos, que definem o funcionamento do malvertising moderno:
- As empresas de publicidade vendem os dados dos usuários para outras empresas, a fim de que as mesmas possam criar mais publicidade, com base nos gostos e ambientes do usuário.
- As "outras empresas" são muitas vezes, de fato, os atacantes que conseguem injetar malware no anúncio, sem o conhecimento da empresa de publicidade, do site, nem muito menos do usuário.
- Sem clicar em nenhum link (apenas visitando a página), o atacante procura vulnerabilidades (nos plugins do navegador e software instalado), e ao encontrá-las, instala o malware sem que o usuário perceba (se não for encontrado, nada acontece).
No entanto, muitos usuários também estão cientes das vulnerabilidades em navegadores, por isso, evitam instalar plugins; mesmo assim já foram encontrados ataques de malvertising que utilizam as mesmas técnicas definidas acima, mas em ads de aplicativos como o Skype.
Dicas para não ser mais uma vítima do malvertising
- Evite instalar plugins, a menos que sejam absolutamente necessários;
- Leia as permissões exigidas pelos plugins antes de instalar;
- Ative o "click-to-play" disponível para todos os navegadores, de modo que antes de executar qualquer plugin, o usuário deve autorizá-la.
- Ter um software de segurança instalado e atualizado;
- Proteja as configurações avançadas do software de segurança com senhas fortes;
- Sempre instale a versão mais recente do navegador usado para acessar a Internet;
- Atualize os programas como Java ou Adobe por meio de sites oficiais.