Cibercriminales utilizaron botnets para generar casi 30 millones de dólares en ingresos por publicidad fraudulenta.
El mundo internet registró una victoria a causa de que el FBI desbaratara una estafa masiva de varios años. En la cual, los ciberdelincuentes utilizaban botnets – red de equipos informáticos que han sido infectados con software malicioso y que permite su control por hackers- para manipular el tráfico de Internet desde 1,7 millones de direcciones IP y generar casi 30 millones de dólares en ingresos por publicidad fraudulenta. F-Secure apoyó la operación de desmantelamiento al proporcionar información sobre amenazas en las campañas de malware y sobre las redes de bots de la estafa.
En un aviso publicado por US-CERT* el grupo de fraude publicitario llamado “3ve” construyó dos redes de bots al propagar el malware Kovter y Boaxxe a particulares a través de correos electrónicos tipo spam y por medio de descargas desde el disco duro. Los delincuentes utilizaron estas botnets para manipular el tráfico de Internet y dirigirlo a los avisos que publicaron pretendiendo de que el tráfico provenía de visitantes reales. Expertos estiman que las redes de bots de 3ve les permitieron manipular el tráfico de hasta 1,7 millones de IP a la vez.
El desmantelamiento, descrito en precisión en un comunicado de prensa del departamento de justicia de Estados Unidos**, reveló que el FBI buscó en 89 servidores y que bajó 31 dominios para desbaratar las redes de bots y confiscar las cuentas bancarias relacionadas con el grupo. La operación tuvo como resultado de que se presentaran múltiples cargos contra ocho personas involucradas.
F-Secure desempeñó un papel crucial de apoyo al esfuerzo liderado por el FBI al exponer a las autoridades partes de las redes de bots y campañas de malware de 3v.
“3ve hizo uso del correo de notificación de entrega fallida, que es un método de ataque común hoy en día. Los usuarios abren un archivo adjunto o hacen clic en un link y terminan infectados con Kovter, Boaxxe o incluso ambos”, explica Paivi Tynninen, experta de F-Secure. “Otro método utilizado por 3ve es valerse de publicidad maliciosa que redirige a los usuarios a actualizaciones falsas de software y de esta manera engaña a las víctimas para que instalen Kovter, lo cual se ha vuelto una táctica de ingeniería social bastante popular”.
El grupo de fraude publicitario 3ve empleó la botnet Boaxxe como proxy para las solicitudes de publicidad fraudulentas enviadas desde su propio centro de datos en Alemania. La red de bots Kovter era una red de ordenadores infectados que operaba un navegador oculto de los usuarios, los cuales 3ve utilizaba para dirigir el tráfico hacia sus anuncios sin llamar la atención.
A su vez, la generación de tráfico con estas redes de bots en el internet le sugería a los compradores que sus anuncios estaban siendo vistos por innumerables personas. Éste es un tipo de delito cibernético bastante frecuente, aunque muchos no se percaten de que esté ocurriendo en realidad. Un informe de la federación mundial publicistas publicado el 2016 proyecta que los ingresos por fraude publicitario podrían llegar a una cifra de entre 50.000 y 150.000 millones de dólares anuales en el año 2025.***
“El fraude publicitario suele ser considerado como un asunto no muy urgente. Sin embargo, resulta ser costoso para muchas empresas, y esos costos finalmente se devuelven a los consumidores”, explica Sean Sullivan, asesor de seguridad de F-Secure. “Eso conlleva que tipo de operaciones de derribo sean beneficiosas no tan sólo para las empresas, sino que para todo el mundo.”
Si bien es cierto, el desmantelamiento interrumpió con éxito las operaciones de 3ve, la naturaleza de las redes de bots hace que hoy en día sea difícil decir con certeza si 3ve se ha ido para siempre. Sullivan advierte que aunque muchas organizaciones contribuyeron a esta operación, es necesaria la ayuda de los usuarios de computadores para asegurarse de que 3ve no pueda recuperarse.
“La mayoría de las botnets modernas tiene backends bastante sofisticados, estos suelen ser extremadamente resistentes a los intentos de desmontaje. Aún más, los equipos infectados pueden ser utilizados para comenzar la reconstrucción de una de estas redes, por lo que es muy importante que las personas revisen sus equipos y eliminen el malware si llegan a descubrirlo”, advierte el experto.
*Fuente: https://www.us-cert.gov/ncas/alerts/TA18-331A
***Fuente: https://www.wfanet.org/app/uploads/2017/04/WFA_Compendium_Of_Ad_Fraud_Knowledge.pdf
Categorías