Ad Network utiliza algoritmo DGA para evadir bloqueadores de anuncios
Una red de publicidad está ocultando mineros de criptomonedas en el navegador en los anuncios que publica en los sitios de los clientes, y lo ha estado haciendo desde diciembre de 2017, según revelaciones del equipo de Qihoo 360 Netlab.
Además, esta red de publicidad maliciosa también ha encontrado un truco eficiente para evitar a los usuarios con bloqueadores de anuncios, un truco que utiliza para asegurarse de que tanto sus anuncios como el criptoaficionado alcancen todos los objetivos previstos.La red publicitaria toma prestado un conocido truco de malware
La red publicitaria cuyos investigadores de identidad no revelaron, pero solo se conoce como DGA.popad usa un truco normalmente utilizado por las familias de malware, es decir, un algoritmo de generación de dominio (DGA).
Las cepas de malware principalmente troyanos bancarios usan DGA para generar nombres de dominio únicos para cada día al que los hosts infectados se conectan para recibir nuevos comandos del servidor principal de comando y control (C & C).
Los DGA son muy eficientes porque solo el autor del malware sabe cómo funciona el algoritmo DGA y registran dominios de antemano, sabiendo que el malware se conectará a él en un momento futuro. Cuando los investigadores de seguridad rompen los algoritmos DGA, generalmente esto ayuda a las autoridades a controlar la infraestructura del malware.
¿Cómo la red publicitaria usa DGA?
DGA.popad también usa una DGA para generar nuevos dominios a intervalos regulares. El propósito de estos dominios es como respaldo en caso de que los usuarios que ven los anuncios de la red estén usando un bloqueador de anuncios. A continuación se detalla lo que los investigadores de Netlab detectaron en el comportamiento de la red publicitaria.
Los usuarios no usan un bloqueador de anuncios:
- Los usuarios obtienen avisos de los principales dominios de la red publicitaria
- La red publicitaria también implementa una copia de Coinhive en el navegador Monero miner
Los usuarios utilizan un bloqueador de anuncios:
- Los usuarios bloquean anuncios del dominio principal de la red publicitaria
- La red publicitaria carga anuncios de un dominio alternativo generado por DGA: la red publicitaria también despliega una copia de Coinhive en el navegador Monero miner
El DGA es extremadamente eficiente en este caso porque para cuando los bloqueadores de anuncios detectan los nuevos dominios desde los cuales los anuncios son servidores, la red publicitaria DGA genera nuevos dominios para usar. Esto significa que la red publicitaria tiene un nuevo suministro de dominios, que aún no figuran en la lista negra de las listas de bloqueadores publicitarios.
DGA.popad es una operación masiva
Según los investigadores de Netlab, algunos de los dominios aleatorios generados por la DGA de la red publicitaria reciben tanto tráfico que uno de ellos ingresó en Alexa Top 2,000.
La mayoría de los anuncios servidos por esta red publicitaria se encuentran en sitios que ofrecen descargas gratuitas o contenido para adultos. Esto no es sorprendente, ya que Netlab descubrió anteriormente que casi la mitad de todas las secuencias de comandos de criptobúsqueda (mineros de Monero en el navegador) se implementan en sitios pornográficos.
DGA.popad implementando tecnologías anti-bloqueador-ad no es ninguna sorpresa tampoco. Las investigaciones recientes muestran que los propietarios de sitios web ya tienen suficientes usuarios con bloqueadores de anuncios y las pérdidas financieras que presentan. De acuerdo con investigaciones recientes, casi el 9% de los sitios Alexa Top 5,000 implementan scripts anti adblock que impiden el acceso de los usuarios al contenido a menos que desactiven sus bloqueadores de anuncios.
DGA.popad puede ser la primera red publicitaria en usar una DGA para eludir los bloqueadores de anuncios, pero no es la primera operación criminal que encontró una forma de evitar bloqueadores de anuncios. Se sabe que una operación de publicidad maliciosa conocida como RoughTed evita los bloqueadores de anuncios a través de diversas técnicas desde principios de 2017.