Malvertising, quando il virus arriva dalla pubblicità

by checkblacklist · 9 Ottobre 2016

Pochi giorni fa il noto servizio di musica in streaming Spotify è stato vittima di una campagna di malvertising (da malicious e advertising, ovvero pubblicità malevola). È un tipo di attacco in cui si usano le inserzioni pubblicitarie di un sito o un servizio legittimo, spesso anche autorevole, per arrivare direttamente nel computer dei suoi utenti e cercare di infettarli attraverso diverse tecniche. Nel caso in questione, a essere presa di mira è stata la versione free, gratuita, del clienti di Spotify, che si basa sulla pubblicità. Gli attaccanti hanno inserito un codice malevolo nelle inserzioni che giravano su Spotify e che venivano servite ai suoi utenti, e il cui effetto era di sequestrare i browser dei dispositivi per indirizzarli verso siti da cui poi procedere all’infezione con un malware, un software malevolo.

A metà settimana molti utenti hanno iniziato a riportare sui social media degli strani episodi. In sostanza, mentre ascoltavano la musica con Spotify, vedevano il proprio browser aprire in automatico delle finestre che si collegavano a siti molto sospetti.

Spotify ha poi confermato l’attacco, dichiarando di aver identificato ed eliminato il problema, legato a una inserzione del servizio Free. E aggiungendo che la questione avrebbe riguardato un «piccolo numero di utenti».

Spotify è solo l’ultimo nome importante di una serie di siti e servizi che sono stati colpiti dal malvertising, una strategia di attacco particolarmente insidiosa perché coglie alla sprovvista i suoi target. L’utente infatti non sta navigando a caso, non sta aprendo link di dubbia provenienza, non sta scaricando programmi o altro, ma sta semplicemente usando un servizio noto (in questo caso Spotify). Oppure sta visitando il suo sito preferito di notizie. In passato a cadere vittima di chi fa malvertising sono stati siti come il New York Times, Forbes, Yahoo, la Bbc e perfino il London Stock Exchange.

Come attacca

Una volta esposto a un’inserzione malevola, l’utente può essere infettato da un malware in diversi modi, ma spesso non è nemmeno necessaria la sua «cooperazione». Si tratta in tal caso di un attacco che viene chiamato drive-by download: vuol dire che il virus viene scaricato senza che la vittima clicchi su nulla. Perché gli attaccanti – attraverso dei pacchetti di malware chiamati exploit kit – analizzano il sistema dell’utente per cercare delle falle, delle vulnerabilità del software (in genere dello stesso browser o dei suoi plugin come Adobe Flash, Microsoft Silverlight, Oracle Java). E se ne trovano, le usano per scaricare il malware. Che può essere un keylogger, cioè un programma che trafuga le credenziali dell’utente quando entra in vari servizi online, dalla mail a PayPal all’internet banking. Oppure un ransomware (ne abbiamo parlato spesso, a partire da questa inchiesta), che cifra tutti i file e poi chiede un riscatto. Questo secondo genere di virus è in crescita anche nel malvertising e ne costituirebbe ormai ben il 70 per cento di attacchi, secondo le stime della società di cybersicurezza Malwarebytes.

«Negli ultimi due anni, l’abuso dei grandi network pubblicitari online è diventato il punto ideale per gli attaccanti», scrive un report della società di sicurezza Bromium. «Il malware servito attraverso le pubblicità offre un grande ritorno sull’investimento per gli aggressori e inoltre resta difficile da bloccare al momento del lancio. Abbiamo assistito a un ampio spettro di pubblicità malevole arrivare da siti popolari». E, prosegue il report, questo trend continua a crescere incontrastato: al punto che il 27 per cento dei primi mille siti per numero di visite (secondo la classifica Alexa) avrebbero consegnato del malvertising.

Così sfrutta il sistema pubblicitario

Ma come avvengono concretamente questi attacchi? Il malvertising sfrutta la reputazione e il traffico di siti autorevoli e popolari, manipolando il sistema che piazza inserzioni sugli stessi. Il fatto è che tali siti vendono spazi pubblicitari attraverso dei rivenditori terzi, che impacchettano e distribuiscono una certa inserzione al volo, selezionata in tempo reale attraverso un’asta online.

Obiettivo degli attaccanti è inserire del codice malevolo nel banner o nell’inserzione di turno e questo può avvenire in vari modi. Anche comprando uno spazio pubblicitario. «In questo caso gli attaccanti acquistano, magari con carte di credito rubate, degli spazi dove prima mettono banner normali, e poi a un certo punto li sostituiscono con quelli malevoli», commenta a La Stampa Matteo Flora, ad della società di monitoraggio di contenuti online The Fool nonché esperto di indagini digitali. «Esiste infatti un’ampia fetta di invenduto pubblicitario il cui valore marginale è quasi nullo e viene quindi rimesso sul mercato al ribasso».

Chi fa malvertising può fare anche molti soldi, specie attraverso i ransomware, per cui può permettersi di spendere nella prima fase dell’attacco. «Tuttavia i network controllano sempre più spesso cosa succede – prosegue Flora – quindi sta diventando più difficile. L’altra strada è bucare il network pubblicitario che gestisce gli spazi; oppure i server che erogano i contenuti degli stessi inserzionisti».

Gli amministratori dei siti che servono queste pubblicità malevole sono spesso all’oscuro di quanto sta succedendo. Inoltre, a causa del funzionamento bizantino ed estemporaneo del sistema di assegnazione e di distribuzione di spazi pubblicitari, è anche difficile tracciare l’origine di un episodio di malvertising, individuare cioè esattamente da quale server e in quale momento arrivava l’inserzione maligna. «È un po’ come chiedersi, in un momento di forte fluttuazione di un titolo in Borsa, chi aveva una specifica azione in un certo minuto», commenta Flora.

Non solo: oltre a nascondersi fra le pieghe del sistema di advertising gli attaccanti ne sfruttano anche le potenzialità, a partire dalla profilazione degli utenti. Infatti questi network permettono agli inserzionisti di comprare spazi mirati sulla base di località geografica, demografia, e sistema operativo degli utenti. Una manna per chi attacca.

Cosa fare per difendersi

Come ci si difende dal malvertising? Innanzi tutto tenendo sempre tutti i software aggiornati. Poi riducendo quella che viene chiamata in gergo «la superficie di attacco», cioè tutto ciò su sui un attaccante potrebbe trovare delle falle. Per cui via i plugin del browser che non si usano (specialmente Flash e Java) o comunque configurarli secondo modalità click-to-play: ogni volta che si carica una pagina web che richiede l’esecuzione del plugin, ci verrà chiesto se vogliamo eseguirlo. Infine utilizzando un ad blocker, cioè un’estensione del browser che rimuove i banner e i popup più invasivi. Tuttavia alcuni siti, specie quelli che vivono solo di pubblicità, sempre più spesso richiedono la disattivazione di questo strumento per permettere agli utenti di accedere ai contenuti. Infine, se si teme di essere stati oggetto di un attacco, conviene quanto meno fare una scansione del proprio computer con un buon antivirus. (fonte)

Malvertising, quando il virus arriva dalla pubblicità

Come attacca

Così sfrutta il sistema pubblicitario

Cosa fare per difendersi

You may also like...

Ti piace il nostro blog?

Segui CheckBlackList

Categorie

Archivi

Le nostre Pagine su Facebook

Cerca articoli

Link utili

News recenti

Vodafone disturba troppo gli utenti, e il garante interviene

Ecco perché prendersi una pausa da Facebook fa bene

Malware Snipr, un tool per furto di credenziali

Messaggi privati, attenti a Slack

Scattare troppe foto con lo smartphone ci fa perdere i ricordi

Google Chrome, lotta alle criptovalute

MyFitnessPal, rubate informazioni di 150 milioni di account

Apple Watch, al suo interno le prove di un omicidio

Privacy, dati su Hiv condivisi con terzi

Zuckerberg, anni per risolvere problemi di Facebook

Segui anche