Los investigadores de seguridad detectaron una operación de publicidad maliciosa (malvertising) a gran escala que utiliza técnicas sofisticadas como la “esteganografía”, gracias a las cuales consiguió permanecer oculta durante meses y sirvió para infiltrarse en millones de computadoras.

Esta operación, conocida como AdGholas, funciona desde octubre de 2015 y, de acuerdo con el proveedor de seguridad Proofpoint, el grupo que la desarrolló conseguía distribuir anuncios maliciosos mediante más de 100 intercambios de anuncios, atrayendo entre un millón y cinco millones de visitas a su página cada día.

Los investigadores de Proofpoint estiman que entre el 10 y el 20% de los equipos que cargaron los anuncios corruptos fueron redirigidos a servidores albergando exploit kits, herramientas de ataque basado en web que se infiltran sigilosamente en las aplicaciones más populares con el fin de instalar malware.

¿Cómo opera?

El código de esta publicidad maliciosa utiliza una jerarquía de pasos que asegura que las computadoras que caen en la trampa no son máquinas virtuales utilizadas por investigadores de seguridad o por las redes de anuncios propios que descubren malware.

Otros controles servían para filtrar a las víctimas en función de su geolocalización y dirigir con precisión los programas de malware, por lo general troyanos bancarios online, sólo para usuarios en regiones específicas. Esto probablemente fue a petición de otros grupos de ciberdelincuencia que creaban los troyanos y pagaban a AdGholas para distribuir su malware.

Para entorpecer la detección de ataques por parte de las redes de anuncios y los escáneres de, AdGholas utiliza ‘esteganografía’, una técnica que oculta el código de las imágenes. Los anuncios maliciosos contenían imágenes con código JavaScript cifrado en el interior que sólo se extraía y ejecutaba para equipos que cumplían la jerarquía de los pasos mencionados antes.

Esta es la primera vez que se observa la utilización de la “esteganografía” con fines maliciosos, según Proofpoint. Los investigadores de la compañía trabajaron con Trend Micro para despedazar la técnica de los atacantes y analizarla.

La empresa estima que las campañas de malvertising de AdGholas se infiltraban en hasta un millón de computadoras al día e infectaban a miles de ellos con malware. La operación se interceptó el 20 de julio siguiendo un cambio de acciones de varios miembros de la industria publicitaria.