La operación de malvertising de AdGholas corrompe redes de publicidad y escáneres de virus usando la técnica denominada esteganografía para no ser detectada.
Los investigadores de seguridad han destapado una operación de publicidad maliciosa a gran escala que utiliza técnicas sofisticadas, que consiguieron permanecer ocultos durante meses y que sirvió para infiltrarse en millones de ordenadores.
La operación AdGholas ha estado funcionando al menos desde octubre de 2015. De acuerdo con el proveedor de seguridad Proofpoint, la banda conseguía distribuir anuncios maliciosos a través de más de 100 intercambios de anuncios, atrayendo entre 1 millón y 5 millones visitas a su página cada día.
Los investigadores de Proofpoint estiman que entre el 10 y el 20% de los equipos que cargaron los anuncios corruptos fueron redirigidos a servidores albergando exploit kits, herramientas de ataque basado en web que se infiltran sigilosamente en las aplicaciones más populares con el fin de instalar malware.
El código de esta publicidad maliciosa utiliza una jerarquía de pasos que asegura que los ordenadores que caen en la trampa no son máquinas virtuales utilizadas por investigadores de seguridad o por las redes de anuncios propios que descubren malware.
Otros controles servían para filtrar a las víctimas en función de su geolocalización y dirigir con precisión los programas de malware, por lo general troyanos bancarios online, sólo para usuarios en regiones específicas. Esto probablemente fue a petición de otros grupos de ciberdelincuencia que creaban los troyanos y pagaban a AdGholas para distribuir su malware.
Con el fin de dificultar la detección de ataques por parte de las redes de anuncios y los escáneres de, AdGholas utiliza ‘esteganografía’, una técnica que oculta el código de las imágenes. Los anuncios maliciosos contenían imágenes con código JavaScript cifrado en el interior que solo se extraía y ejecutaba para equipos que cumplían la jerarquía de los pasos mencionados antes.
Esta es la primera vez que se ha observado la utilización de la ‘esteganografía’ con fines maliciosos, según Proofpoint. Los investigadores de la compañía trabajaron con Trend Micro para despedazar la técnica de los atacantes y analizarla.
Proofpoint estima que las campañas de malvertising de AdGholas se infiltraban en hasta un millón de ordenadores al día e infectaban a miles de ellos con malware. La operación se interceptó el 20 de julio siguiendo un cambio de acciones de varios miembros de la industria publicitaria.