Malicious advertising, or malvertising, as it is commonly known, is the practice of placing malicious code into legitimate ads.
Estas campañas de publicidad maliciosa luego propagan malware o campañas de phishing, y a menudo pasan desapercibidas para las plataformas y los editores hasta que los usuarios finales les alertan sobre el ataque de publicidad maliciosa.
Malvertising poses a huge threat to the entire digital advertising landscape.
Not only does it tarnish the user experience, but it can also cause irreparable damage to the publisher's reputation. Further to this, it drives the deployment of ad blockers, reducing the number of impressions served and impairing publishers’ ability to earn a valuable revenue stream.
Con la publicidad maliciosa en aumento (estudios recientes mostraron que 1 de cada 100 anuncios contiene contenido malicioso), los sitios web legítimos deben estar al tanto de las amenazas tanto del lado de la oferta como de la demanda para contrarrestar estos ataques de publicidad maliciosa potencialmente devastadores.
¿Qué es la publicidad maliciosa y por qué es mala para los editores?
Malvertising, a portmanteau of malicious software and advertising, is the use of online, malicious advertisements to spread malware and compromise systems. This is generally enacted by malicious actors, or hackers, injecting malicious code into legitimate online advertising networks. The malicious actors behind this code usually pay legitimate advertising networks to display these infected ads on various websites without the ad network or legitimate websites having any knowledge that these harmful ads are being served to unsuspecting users.
Uno de los elementos más problemáticos de la publicidad maliciosa es que el anuncio infectado se parece a cualquier otro anuncio legítimo publicado en una página. Ni siquiera los editores son conscientes de que están publicando un anuncio malicioso en su sitio. Debido a la complejidad de la publicidad programática , es casi imposible controlar cada anuncio que gana la subasta y se muestra al lector. En el pasado, los ataques de publicidad maliciosa han afectado a grandes portales de noticias, y editores de renombre publican anuncios maliciosos sin saberlo, como el New York Times, la BBC o Yahoo. Sin embargo, existen algunas formas de mitigar el riesgo de publicar un anuncio malicioso en la página de un editor, y hablaremos de ellas más adelante.
Let’s establish two more things before diving deeper into malvertising. What is the reason people hide malicious codes behind ads, and why is it so bad for publishers if it infects the visitors?
Well, the answer to the first question is easy – money. The code injected behind an ad can cause many actions, including stealing the visitor’s financial data.
Eso nos lleva a la segunda pregunta. Si un visitante visita su sitio web y recibe un anuncio que le causa problemas, lo más probable es que nunca vuelva a visitar su página, lo que genera una pérdida de tráfico e ingresos publicitarios , algo que todos los editores quisieran evitar.
How Does Malvertising Work?
Malvertising occurs when a malicious actor hides malicious code into an otherwise legitimate advertisement. This then directs the user to a malicious website or compromised server. When the user’s system successfully connects to the server, an exploit kit then executes. Exploit kits operate by detecting and then exploiting, any vulnerabilities they find on the user’s system.
What is the Difference Between Malvertising and Adware?
Malvertising is often mistakenly confused with adware, and understandably so. Adware is another major online threat to users; however, it operates differently from malvertising.
La principal diferencia entre publicidad maliciosa y adware es dónde reside la infección. Mientras que la publicidad maliciosa funciona para insertar código malicioso en la red publicitaria, el adware instala software malicioso en la computadora del usuario.
How Malvertising is Injected Into Ads
There are several ways malware can get served on your website. A user can get affected by malware even when they don’t click on the ad at all.
That means there are different ways of how malware is inserted into ads ranging from within a pixel to an injected post-click.
Malware In Ad Calls: When a website displays an ad, a selection of third-party users bid for that ad space via an ad exchange. One or more of these may be compromised by an attacker who can include malicious code in the ad payload.
Post-Click Malware: When a user clicks on an advertisement, they are usually redirected along a chain of URLs, the final of which is the ad landing page. Malware injected post-click occurs when an attacker compromises any of the URLs along this delivery path.
Malware in Ad Creative: Many malvertising attacks occur via malware embedded in a banner or text ad. Ads that used to employ adobe flash were particularly vulnerable in the past, which contributed to flash being discontinued in late 2020.
Malware dentro de un vídeo: Los anuncios de vídeo son especialmente complicados, ya que los reproductores de vídeo no protegen contra el malware. Hay varias formas en que un usuario puede verse afectado por un vídeo. Incluso sin reproducirlo, un lector puede quedar expuesto al código malicioso, ya que puede insertarse en la imagen destacada previa al video. O, después de que un usuario ve el vídeo, se puede insertar nuevamente una URL que lleve al lector a una página de destino falsa.
Malware dentro de un píxel: un píxel normal en una página web envía datos cuando un visitante ingresa a la página con fines de seguimiento; sin embargo, si es pirateado, puede enviar un código malicioso al dispositivo del usuario y provocar una acción indeseable. De esta forma, el usuario ni siquiera tiene que hacer clic en el anuncio.
Principales tipos de campañas de publicidad maliciosa
As the world of digital advertising has evolved, so too have the different malvertising strategies employed by cybercriminals.
Here are some of the more common examples of malvertising campaigns.
Steganography
La estenografía, la antigua técnica de ocultar mensajes e imágenes secretos dentro de otros textos e imágenes, ha sido adoptada más recientemente por los ciberdelincuentes para ocultar códigos maliciosos dentro de las imágenes de los anuncios.
Imágenes políglotas
Polyglot images take the implementation of stenography one step further. Not only do they have the code for the malware, but they also include the scripts required to execute and launch the attack. Polyglot images contain not only the initial hidden payload but are able to speak several languages.
With no need for an external script to extract the malware package, polyglots are a sophisticated and dangerous form of malicious advertising.
Estafas de soporte técnico
Tech support scams involve tricking users into thinking there is a technical issue with their device or operating system. These ads typically install a form of malware that hijacks the users
browser, directing them to call a number to fix the ‘problem’.
Tech support scammers on the other end of the line then work to extract money and information from unsuspecting users.
Scareware
Operating with similar social engineering tactics to tech support scams, scareware attempts to scare users into thinking that their computer has a malware infection or other technical problem.
However, rather than directing users to a call center, scareware attempts to scare users into downloading fake anti-virus software. The irony of scareware is that the ‘anti-virus software’ advertised to fight malware is often malware itself.
Get Rich Quick Schemes and Fake Surveys
The internet is littered with advertisements for get-rich-quick schemes and fake surveys offering big payouts. While these malvertising ads promise big rewards, they are more likely to be injected with a malware infection than the legitimate opportunity to make money. If something looks too good to be true, it probably is.
Fake Software Updates
Fake software updates are a popular malvertising technique that pretends to offer users legitimate software updates and other popular downloads, often for security and performance purposes. However, once clicked, these ads install unwanted software such as spyware, viruses, or other malware. Users can avoid this malvertising by ensuring that they download their software from a first-party vendor such as the app store.
How Users Are Affected By Malvertising
There are two ways a visitor can get affected by the malicious software hidden behind an ad.
1. Sin hacer clic en el anuncio malicioso
La parte complicada de la publicidad maliciosa es que los usuarios ni siquiera tienen que hacer clic en el anuncio malicioso para tener problemas. Cargar una página con anuncios maliciosos suele ser suficiente para infectar el dispositivo del usuario. Esta forma de ataque de publicidad maliciosa se conoce como descarga no autorizada. Simplemente cargar la página web que aloja el anuncio no deseado es suficiente para desencadenar la actividad maliciosa, que conduce a la infección de la computadora del usuario.
2. Al hacer clic en el anuncio malicioso
The second way a user can get affected is actually clicking on the ad, while
believing it is a legitimate ad.
Después de que un visitante queda expuesto al anuncio malicioso, pueden seguir varias acciones. Entre los más comunes se encuentran instalar:
- Ransomware : un tipo de malware que impide que un usuario acceda a su dispositivo y exige un pago para recuperarlo. El ransomware también puede cifrar los archivos del usuario y requerir nuevamente un pago para restaurarlos.
- Software espía : permite el acceso total a la computadora, observa las actividades del usuario y lo informa al autor del software. De esta forma, cualquier contraseña e información financiera o sensible del usuario puede quedar expuesta.
- Adware – adware is a widespread type of malware where a user is repeatedly exposed to pop-up ads on their computer. The purpose of such ads is for the user to eventually click one of them and install another software that is usually paid for.
None of these actions are naturally desired by the user and can even happen without the visitor’s knowledge, such as when being affected by spyware.
Por esa razón, los lectores y editores deben emprender acciones que eviten cruzarse con la publicidad maliciosa en primer lugar.
Los usuarios suelen ser conscientes de la posibilidad de que aparezcan anuncios maliciosos y, a menudo, intentan protegerse instalando buenos programas antivirus o no utilizando códigos Java, Adobe Reader o Flash para reducir la probabilidad de encontrar un código dañino. A veces, los lectores instalan bloqueadores de anuncios , lo que puede conducir directamente a menores ingresos publicitarios del editor.
When a user does not protect themself and ends up being affected by the bad ad, they are most likely to never come back to your page, and they may tell people about their poor experience. The subsequent effects are a publisher’s damaged reputation, loss of traffic, and ad revenues.
Malvertising Examples
When hackers manage to slip infected ads into popular ad networks, no publisher, big or small, is immune to these malvertising attacks.
However, by understanding where and how previous major malvertising attacks were implemented, publishers may be better equipped to protect themselves in the future.
These malvertising campaigns were particularly notable.
Spotify 2011
In 2011, the free desktop version of Spotify was targeted by malicious ads, as hackers attempted to attack Windows users with the Blackhole exploit kit.
Users didn’t have to click on the ad to be affected. Once the users' systems had connected to an outside IP address, the exploit kit attempted to exploit a range of vulnerabilities, including flaws affecting Adobe Reader and Acrobat.
El objetivo final de este ataque de publicidad maliciosa era lograr que los usuarios descargaran la aplicación antivirus falsa Windows Recovery en sus sistemas.
This malvertising attack was particularly notable, as the malvertising campaign launched inside the app.
AnuncioGholas 2016
Quizás el ataque de publicidad maliciosa mejor documentado, en 2016, AdGholas infectó a miles de usuarios diariamente utilizando una combinación avanzada de técnicas, incluido filtrado sofisticado y esteganografía.
Hitting significant sites such as Yahoo, MSN, and other big-name outlets using an ad for fake software which redirected victims to a malicious landing page that used several Flash exploits to download and install malware.
COVID-19 2020
Hosting an exploit kit from the domain covid19onlineinfo[.]com, cybercriminals recently targeted users of Internet Explorer using a fake advisory notice.
The attack used the Fallout exploit kit to attack users still operating the outdated Internet Explorer browser installing malware that could steal personal data and passwords.
How Publishers Can Protect Themselves from Malware
Para proteger su página web y a sus lectores como editor, puede cooperar con varias empresas que ofrecen tecnología para identificar anuncios infectados con códigos maliciosos.
- Confiant: Confiant ofrece una tecnología de verificación de anuncios que debería identificar y bloquear automáticamente todo tipo de creatividades maliciosas en tiempo real.
- Geoedge: la tecnología de GeoEdge protege contra incumplimientos, malware, contenido inapropiado, fuga de datos y problemas operativos y de rendimiento.
- Adwizard – Publift ha desarrollado una tecnología que ofrece muchas funciones, incluido el bloqueo de anuncios maliciosos. Nuestra extensión de Google Chrome brinda a los usuarios la posibilidad de tomar decisiones informadas sobre los anuncios en una página web en tiempo real. Un usuario puede ver información del servidor de anuncios y el rendimiento de las ofertas de encabezado en un solo lugar, y los usuarios premium y los miembros de Publift tienen el beneficio adicional de identificar bloques de anuncios problemáticos y bloquearlos con un solo clic.
Conclusión
La publicidad maliciosa es un problema constante cuando se publica un anuncio malicioso que contiene un código incorrecto en la página de un editor, a menudo sin el conocimiento tanto del editor como del lector. Al cargar la página y ver el anuncio, se puede infectar el dispositivo del visitante con diferentes tipos de malware, provocando la pérdida de datos o acceso a su dispositivo.
Malvertising negatively impacts the publisher’s reputation and leads to a subsequent loss of traffic and ad revenue. Publishers should protect their readers and their webpage from malicious ads by installing one of the technologies available on the market. Get in touch with Publift to find out more about Adwizard, which is protecting more than a thousand publishers on the market.
If you’re making more than $2,000 in monthly ad revenue, contact us today to learn more about how Publift can help increase your ad revenue and best optimize the ad space available on your website or app.