Resumen:
- Actualmente, las notificaciones push se utilizan como sistemas de distribución de malware y los usuarios se suscriben a ellas sin saberlo.
- Las solicitudes de CAPTCHA falsas son ahora una puerta de entrada al secuestro constante del navegador y a los ataques de phishing.
- Los sitios de WordPress están secuestrando silenciosamente a los usuarios a través de comandos DNS invisibles y cargas útiles de JavaScript comunes.
Investigaciones recientes han revelado una inquietante alianza entre hackers de WordPress y empresas de tecnología publicitaria, creando una vasta infraestructura para la distribución de malware a escala global. Estos ataques se dirigen específicamente a sitios que utilizan el sistema de gestión de contenido WordPress, lo que los hace vulnerables a la piratería.
Una búsqueda reveló que Información sobre amenazas de Infoblox En el centro de esta operación se encuentra VexTrio, un sistema de distribución de tráfico (TDS) encargado de redirigir a los usuarios web mediante capas de anuncios falsos, redirecciones engañosas y notificaciones push fraudulentas. Este sistema permite a los hackers llegar a millones de usuarios.
El informe alega que varias empresas comerciales, entre ellas Los Pollos, Partners House y RichAds, están involucradas en esta red, actuando como intermediarias y facilitadoras. Estas empresas utilizan sofisticadas técnicas publicitarias para camuflar el malware.
Relación de Los Pollos y cierre fallido
Infoblox vinculó inicialmente la red Los Pollos con VexTrio cuando la primera estuvo implicada en campañas de desinformación rusas.
En respuesta, Los Pollos afirmó que pondría fin a su modelo de “monetización a través de enlaces de pago”.
Sin embargo, la actividad maliciosa latente persistió mientras los atacantes migraban a un nuevo sistema TDS conocido como Help, que finalmente se vinculó a VexTrio. Este cambio pone de relieve la resiliencia de los actores maliciosos y su capacidad de adaptación ante los intentos de interrumpir sus operaciones.
Las vulnerabilidades de WordPress sirvieron como punto de entrada para múltiples campañas de malware, donde los atacantes comprometieron miles de sitios web e implantaron scripts de redireccionamiento maliciosos. Estos scripts se basaban en registros TXT de DNS como mecanismo de comando y control para determinar adónde se enviaban los visitantes de la web. Esta táctica permitía a los atacantes controlar y dirigir el tráfico de forma encubierta.
Un análisis de más de 4.5 millones de respuestas DNS entre agosto y diciembre de 2024 reveló que, si bien las distintas cepas de malware parecían independientes, compartían infraestructura, alojamiento y patrones de comportamiento que conducían a VexTrio o a sus proxies, incluyendo Help TDS y Disposable TDS. Esta similitud en la infraestructura sugiere una coordinación centralizada o un conjunto compartido de herramientas entre las distintas campañas.
JavaScript en estas plataformas demostró la misma funcionalidad: alteraba los controles del navegador, forzaba redirecciones y atraía a los usuarios con concursos falsos. Estas técnicas buscaban engañar a los usuarios para que revelaran información personal o descargaran malware.
Curiosamente, estos sistemas TDS están integrados en plataformas de tecnología publicitaria que se presentan como redes de afiliados legítimas. Esta integración dificulta la detección de actividad maliciosa y su separación del tráfico publicitario legítimo.
Los investigadores observaron que «estas empresas mantenían relaciones exclusivas con 'afiliados de editores' y, en este contexto, con los atacantes, y conocían sus identidades». Esto sugiere una posible complicidad o negligencia por parte de las empresas de tecnología publicitaria.
Las notificaciones push se han convertido en una amenaza particularmente poderosa. Se engaña a los usuarios para que activen las notificaciones del navegador mediante solicitudes CAPTCHA falsas. Esta técnica explota la confianza de los usuarios en los mecanismos de seguridad comunes.
Los piratas informáticos luego envían enlaces de phishing o malware después de que el usuario se registra, eludiendo las configuraciones del firewall e incluso El mejor software antivirusEsta derivación dificulta que los usuarios se protejan de los ataques.
Algunas campañas redirigen estos mensajes a través de servicios de confianza como Google Firebase, lo que dificulta su detección. El uso de servicios legítimos oculta la naturaleza maliciosa de los mensajes y dificulta su detección por parte de los sistemas de seguridad.
La superposición entre plataformas de tecnología publicitaria, como BroPush, RichAds y Partners House, dificulta la atribución. Esta superposición dificulta la identificación y la rendición de cuentas de los responsables de los ataques.
Los sistemas DNS mal configurados y los scripts reutilizados apuntan a un contexto común, e incluso a un entorno de desarrollo común. Esto sugiere que los actores maliciosos utilizan un conjunto común de herramientas y técnicas.
Para combatir el riesgo, los usuarios deben evitar activar alertas sospechosas del navegador y utilizar herramientas que proporcionen acceso a la red sin confianza (ZTNA) y tenga cuidado al usar las preguntas CAPTCHA. Estas medidas pueden ayudar a los usuarios a protegerse de ataques.
Al actualizar WordPress y monitorear anomalías de DNS, los administradores de sitios web pueden reducir la probabilidad de ataques. El mantenimiento regular y las medidas de seguridad proactivas son esenciales para proteger los sitios web de ataques.
Sin embargo, las empresas de tecnología publicitaria podrían tener la influencia y la clave para detener estas operaciones si deciden actuar. Tienen la responsabilidad de ayudar a prevenir actividades maliciosas en sus plataformas.
