Dentro De Master134 Exoclick Vinculado A Anteriores Campañas De Publicidad Maliciosa

Dentro de Master134 ExoClick vinculado a anteriores campañas de publicidad maliciosa

ExoClick se autodefine como una de las mayores y más exitosas redes de publicidad online, con 7.000 millones de impresiones publicitarias al día. También se ha relacionado con múltiples incidentes de malvertising, incluyendo el "Maestro134" campaña el año pasado.

Con sede en Barcelona, España, la empresa ofrece servicios de publicidad en línea a editores y anunciantes. ExoClick es también posiblemente la mayor y más conocida de las empresas de publicidad en línea citadas en el informe Master134; W3Techs incluyó a la empresa como la quinta red de publicidad en línea más utilizada en el mundo en abril de 2019.

A pesar de sus credenciales, ExoClick fue implicada en el informe de Check Point Research sobre la campaña Master134, titulado "Una campaña publicitaria de secretos y mentiras." El grupo de investigación, que forma parte de Check Point Software Technologies, afirmó que un actor de la amenaza operaba un servidor remoto en una dirección IP de 134.249.116.78 estaba secuestrando el tráfico de más de 10.000 sitios vulnerables de WordPress. El tráfico secuestrado fue comprado por la red publicitaria Adsterra, con sede en Chipre, que luego vendió el tráfico a revendedores de redes publicitarias que vendieron el tráfico a actores de amenazas que operan dominios maliciosos.

ExoClick fue nombrada como uno de los tres revendedores de la cadena Master134. La empresa negó cualquier participación directa en la campaña de publicidad maliciosa. Los dos revendedores restantes, EvoLeads y AdventureFeeds, no negaron ni reconocieron públicamente el informe.

Si bien Check Point no acusó directamente a los revendedores de haber actuado de forma incorrecta, el equipo de investigación tuvo fuertes palabras para las empresas. "Aunque nos gustaría creer que los revendedores que compran el espacio publicitario de Master134 a Adsterra actúan de buena fe, sin conocer las intenciones maliciosas de Master134," el informe dice, "un examen de las compras de Adsterra demostró que, de alguna manera, el espacio ofrecido por Master134 siempre acababa en manos de los ciberdelincuentes, lo que permite completar la cadena de infección."

La cadena de redireccionamiento/infección de la campaña Master134.

ExoClick suspendió a Adsterra de su red para investigar a fondo el asunto, según Giles Hirst, jefe de comunicaciones de ExoClick.

"ExoClick se toma la seguridad muy en serio, y tenemos un equipo de cumplimiento y un equipo de seguridad que trabajan duro para mantener a los malos actores fuera de nuestra red," dijo.

de las empresas es sospechoso. Puede que no sepan que están conectando a los actores de la amenaza con las víctimas, pero intencionadamente no miran el tráfico porque están ganando dinero con él, y si lo miran y tienen que eliminarlo, perjudicará al negocio.

Lotem FinkelsteenJefe del equipo de análisis de inteligencia de amenazas, Check Point Research

Hirst también afirmó no entender cómo funcionaba el esquema Master134 y cuál era el objetivo final de las empresas implicadas.

"El artículo es bastante incendiario, sugiriendo que ExoClick se beneficia de esto y que de alguna manera está en asociación con esas personas," Hirst dijo. "Esas son acusaciones bastante serias, y no logramos identificar exactamente cómo es que."

El informe de Check Point explicaba que una de las partes infectaba los sitios web y redirigía a los visitantes a las empresas de publicidad, generando ingresos para ambas empresas y para Master134, mientras que las otras partes maliciosas recibían un lucrativo flujo de infecciones potenciales para sus kits de explotación.

"Creo que las empresas son plenamente conscientes de que el tráfico es sospechoso," dijo Lotem Finkelsteen, líder del equipo de análisis de inteligencia de amenazas de Check Point Research y uno de los colaboradores del informe Master134. "Puede que no sepan que están conectando a los actores de amenazas con las víctimas, pero intencionadamente no miran el tráfico porque están ganando dinero con él, y si lo miran y tienen que eliminarlo, perjudicará al negocio."

Según el informe de Check Point, la mayoría de las redes publicitarias implicadas en Master134 utilizaban dominios de alias diferentes a sus URLs corporativas; por ejemplo, EvoLeads utilizaba un dominio malicioso llamado bestabid.com. ExoClick era diferente: los investigadores de Check Point dicen que el tráfico de Master134 se movía a través de exoclick.dominio com. Esta no fue la primera vez que los dominios corporativos de ExoClick fueron señalados por los investigadores de seguridad por redirecciones maliciosas.

El pasado de ExoClick

ExoClick, al igual que Adsterra y otras empresas en esta investigación, ha sido asociada con anteriores campañas de malvertising. Un informe de amenazas de Malwarebytes de 2014 sobre campañas de malvertising en el sitio web de The Pirate Bay cita a exoclick.com como uno de los dominios publicitarios que redirigían el tráfico al kit de explotación Angler. Un dominio de ExoClick, sindicado.exoclick.com, también fue citado en el mismo informe de FireEye de 2017 que nombró a los terraclicks de Adsterra.como parte de una campaña para redirigir el tráfico al kit de explotación Magnitude [véase la segunda parte de esta serie para más información].

En ese informe, FireEye describió una técnica conocida como "dominio de sombra" donde los actores de la amenaza crean un subdominio malicioso desde un dominio corporativo legítimo. "No es infrecuente que los servidores de anuncios populares redirijan a redes de afiliados, organizaciones que reenvían el tráfico a servidores que soportan otros dominios maliciosos, que se denominan "Cushion Servers" o "Shadow Servers"" dijo Zain Gardezi, investigador de vulnerabilidades de FireEye. "Algunas campañas utilizan la técnica de "domain shadowing" para camuflar servidores de anuncios fraudulentos como anunciantes legítimos."

La sindicación.exoclick.com fue uno de los "subdominios publicitarios fraudulentos en esta campaña" que utilizó la técnica de domain shadowing, según el informe. En otras palabras, FireEye creía que el dominio había sido creado y controlado por actores de amenazas y no por la red publicitaria. Gardezi dijo que la dirección IP que observó para la sindicación.exoclick.com en el momento del informe era diferente a las direcciones IP del dominio principal de ExoClick, lo que sugería que el "servidor de anuncios fraudulento" fue operado por un actor de amenazas de terceros y no por el propio ExoClick.

La dirección IP que los investigadores de FireEye registraron para la sindicación.exoclick.com en 2017 fue del 64.111.199.222, según Gardezi. Esa dirección pertenece a un proveedor de alojamiento conocido como ISPrime Inc. en Weehawken, N.J. Mientras tanto, el dominio principal de ExoClick apunta al proveedor de alojamiento OVH, con direcciones IP adicionales proporcionadas por Google Cloud y Leaseweb Global B.V. en Ámsterdam.

Sin embargo, SearchSecurity descubrió información que indica que ISPrime no estaba siendo utilizado por terceros actores de amenazas y que, en cambio, es uno de los proveedores de alojamiento corporativo de ExoClick. La información incluye una lista de clientes en la página de inicio de ISPrime, que cita a ExoClick, así como una página de política de privacidad de ExoClick para la herramienta de bloqueo de anuncios NeverBlock de la empresa. Nombra a OVH, Google, Leaseweb Global e ISPrime como servicios de alojamiento de terceros. Gardezi revisó la información y confirmó que conecta directamente a ExoClick, y no a los actores de amenazas que utilizan la sombra de dominio, con la URL de sindicación.

ISPrime Inc.En la página de inicio de ExoClick figura como cliente.

Si ExoClick estaba, de hecho, operando el dominio de sindicación.exoclick.com durante la campaña del kit de explotación Magnitude, entonces la campaña Master134 marcaría la segunda vez en dos años que un dominio corporativo de ExoClick se utiliza para canalizar el tráfico a los kits de explotación.

ExoClick también fue citado en una tercera campaña de exploits. En marzo de 2017, un informe de Malwarebytes reveló que la red publicitaria de ExoClick se utilizó para redirigir el tráfico al kit de exploits RIG, aunque los investigadores atribuyeron la actividad a un anunciante de terceros. Malwarebytes señaló a ExoClick "fue informado y tomó medidas para detener al anunciante fraudulento."

En diciembre de 2017, Malwarebytes decidió que había visto suficiente de ExoClick; el proveedor de seguridad anunció que había bloqueado dos de los servidores de anuncios de la compañía – exosrv.com y exdynsrv.com – debido al gran volumen de redireccionamientos a sitios de estafa así como a dominios maliciosos. "Anuncios.exosrv[.La herramienta NeverBlock de ExoClick se ha convertido en nuestra principal detección de URLs maliciosas, con un total de más de 4 millones de bloqueos en un día," Según Malwarebytes.

Sin embargo, tres días después, Malwarebytes actualizó su post con una declaración de ExoClick y eliminó los bloqueos en los servidores de anuncios de la compañía. La declaración de ExoClick decía en parte: "Cuando se detectan malwares y otras formas de malvertising a través de nuestras herramientas internas, retiramos el anuncio infractor rápidamente en 15 minutos y prohibimos de forma efectiva al anunciante o individuo(s) responsable(s). Somos uno de los más rápidos del sector en aislar y eliminar cualquier infección y tenemos políticas estrictas al respecto."

Malwarebytes Labs envió una declaración a SearchSecurity explicando por qué revirtió el bloqueo de los servidores de anuncios de ExoClick. "Hay un par de razones por las que levantamos el bloqueo de esos dos dominios de ExoClick," el comunicado decía. "Una de ellas es que cuando una red publicitaria toma medidas para remediar la publicidad maliciosa, siempre revisamos otros casos y evaluamos si el bloqueo debe mantenerse o levantarse.

"La otra razón es que también hemos podido aplicar bloqueos más precisos para proteger a nuestros usuarios. De hecho, hay muchos niveles de redireccionamientos desde la llamada publicitaria inicial hasta la impresión publicitaria final (o malvertising) que se sirve. Si somos capaces de identificar dentro de esa cadena dónde se está produciendo la actividad maliciosa, entonces esto es lo que bloquearemos."

Quién tiene la culpa?

Los actores maliciosos suelen hacerse pasar por anunciantes y editores legítimos para aprovecharse de las redes publicitarias como ExoClick; los ejemplos anteriores podrían atribuirse a una combinación de mala suerte y un interés especialmente grande en la empresa por parte de los ciberdelincuentes.

Sin embargo, Master134 es diferente de las anteriores campañas de malvertising; en este caso, ExoClick no fue acusado de servir anuncios que contenían código malicioso. En cambio, Check Point afirma que ExoClick movía el tráfico sospechoso de Adsterra, que tiene un historial problemático, a través de su propio dominio corporativo y revendía el tráfico a actores de amenazas específicas que alojaban kits de explotación conocidos en sus dominios.

ExoClick no respondió a la solicitud de comentarios sobre cómo pasó por alto las señales de actividad maliciosa y las acusaciones de participación en el pasado en esquemas de redireccionamiento y publicidad maliciosa.

Lea la quinta parte de nuestra serie de seis partes sobre la campaña Master134 y las amenazas de publicidad maliciosa.