Una red de anuncios utiliza el algoritmo DGA para eludir los bloqueadores de anuncios y desplegar los mineros en el navegador
Una red de publicidad está ocultando mineros de criptomonedas en el navegador (scripts de cryptojacking) en las públicidad que publica en los sitios web de los clientes, y lo ha estado haciendo desde diciembre de 2017, según revelaciones hechas el fin de semana por el equipo de Qihoo 360 Netlab.
Además, esta red de publicidad maliciosa también ha encontrado un truco eficiente para evitar los bloqueadores de anuncios, un truco que utiliza para asegurarse de que tanto sus anuncios como el criptoaficionado alcancen todos los objetivos previstos.
La red publicitaria toma prestado un conocido truco de malware
La red publicitaria -cuya identidad no revelaron los investigadores, pero solo se conoce como DGA.popad- usa un truco normalmente utilizado por las familias de malware, es decir, un algoritmo de generación de dominio (DGA).
Las cepas de malware -principalmente troyanos bancarios- usan DGA para generar nombres de dominio únicos para cada día al que los hosts infectados se conectan para recibir nuevos comandos del servidor principal de comando y control (C & C).
Los DGA son muy eficientes porque solo el autor del malware sabe cómo funciona el algoritmo DGA y registran dominios de antemano, sabiendo que el malware se conectará a él en un momento futuro. Cuando los investigadores de seguridad rompen los algoritmos DGA, generalmente esto ayuda a las autoridades a controlar la infraestructura del malware.
Cómo usa DGA la red publicitaria
DGA.popad también usa una DGA para generar nuevos dominios a intervalos regulares. El propósito de estos dominios es como respaldo en caso de que los usuarios que ven los anuncios de la red estén usando un bloqueador de anuncios. A continuación se detalla lo que los investigadores de Netlab detectaron en el comportamiento de la red publicitaria.
Los usuarios no usan un bloqueador de anuncios:
- Los usuarios obtienen anuncios de los principales dominios de la red publicitaria
- La red publicitaria también implementa una copia del minero Monero en el navegador de Coinhive
Los usuarios usan un bloqueador de anuncios:
- Los usuarios bloquean anuncios del dominio principal de la red publicitaria
- La red publicitaria carga anuncios de un dominio alternativo generado por la DGA
- La red publicitaria también implementa una copia del minero Monero en el navegador de Coinhive
El DGA es extremadamente eficiente en este caso porque para cuando los bloqueadores de anuncios detectan los nuevos dominios desde los cuales los anuncios son servidores, la red publicitaria DGA genera nuevos dominios para usar. Esto significa que la red publicitaria tiene un nuevo suministro de dominios, que aún no figuran en la lista negra de las listas de bloqueadores publicitarios.
DGA.popad es una operación masiva
Según los investigadores de Netlab, algunos de los dominios aleatorios generados por la DGA de la red publicitaria reciben tanto tráfico que uno de ellos ingresó en Alexa Top 2,000.
La mayoría de los anuncios servidos por esta red publicitaria se encuentran en sitios que ofrecen descargas gratuitas o contenido para adultos. Esto no sorprende, ya que Netlab descubrió anteriormente que casi la mitad de todas las secuencias de comandos de criptockeo (mineros de Monero en el navegador) se implementan en sitios pornográficos.
DGA.popad implementando tecnologías anti-ad-blocker no es ninguna sorpresa tampoco. Las investigaciones recientes muestran que los propietarios de sitios web ya tienen suficientes usuarios con bloqueadores de anuncios y las pérdidas financieras que presentan. De acuerdo con investigaciones recientes, casi el 9% de los sitios Alexa Top 5,000 implementan scripts anti adblock que impiden el acceso de los usuarios al contenido a menos que desactiven sus bloqueadores de anuncios.
DGA.popad puede ser la primera red publicitaria en usar una DGA para eludir los bloqueadores de anuncios, pero no es la primera operación criminal que encontró una forma de evitar bloqueadores de anuncios. Se sabe que una operación de publicidad maliciosa conocida como RoughTed evita los bloqueadores de anuncios a través de diversas técnicas desde principios de 2017.