Il malvertising continua a mietere vittime, su computer e smartphone. Combinazione delle parole malicious e advertising, conosciuto anche come malvertisement, è un particolare tipo di attacco informatico utilizzato dai criminal hacker per diffondere malware di ogni genere attraverso la pubblicità on-line. E’ una minaccia molto efficace e subdola, ma difendersi è possibile.
Indice degli argomenti
Come funziona il malvertising
Il problema è che basta un clic distratto per rimanere vittime del malvertising, anche se in alcuni casi non è neanche richiesta l’interazione dell’utente per consentire l’installazione del codice malevolo: per avviare la catena infettiva del malware è infatti sufficiente visitare una pagina Web creata ad hoc dai criminal hacker contenente uno script dannoso. In altri casi, è sufficiente riprodurre un video appositamente modificato e ospitato, magari, su un sito Web legittimo che così diventa un vettore inconsapevole del malvertising.
Si tratta dunque di una tecnica particolarmente efficace e difficile da contrastare perché consente ai criminal hacker di diffondere codici malevoli anche su siti Web non compromessi e di nascondere i messaggi pubblicitari fraudolenti in mezzo a tante altre pubblicità che magari raccolgono anche dati personali degli internauti ma non diffondono malware o che sono del tutto legittime ma agli occhi di un utente inesperto o distratto potrebbero sembrare fraudolente.
Gli utenti con sistema operativo, browser, applicativi per la navigazione Internet e antivirus non aggiornati sono, in generale, le più vulnerabili a questo genere di infezioni malware.
Malvertising: quando la pubblicità è fraudolenta
Se è assodato che le pubblicità, i banner o le inserzione pubblicitarie che dirottano il nostro browser durante la navigazione Web verso un sito Internet compromesso o verso un malware sono sicuramente dannose, non è altrettanto semplice distinguere tra una pubblicità legittima e una fraudolenta.
La classica pubblicità dannosa, anche facilmente riconoscibile, è quella che causa un redirect del browser appena l’utente ci clicca sopra avviando a sua insaputa la catena infettiva di un malware o l’installazione di qualche tipo di software non autorizzato.
Software dannoso o non desiderato che, a sua volta, può svolgere diverse funzioni. Nel caso di un malware, potrebbe ad esempio contenere un keylogger in grado di rubare le credenziali di login o altri dati sensibili, un banking trojan, una falsa applicazione antivirus, un ransomware o qualsiasi altro tipo di malware.
Non necessariamente, però, il malvertising viene utilizzato per diffondere malware. In alcuni casi, un clic distratto su un banner pubblicitario potrebbe autorizzare l’installazione di cookie traccianti che memorizzano di nascosto le abitudini di navigazione degli utenti.
Esistono, infine, pubblicità online del tutto legittime anche se, a prima vista, potrebbero sembrare fraudolente e quindi essere classificate come malvertising. Stiamo parlando di quei banner, anche molto diffusi su siti Internet attendibili, che reclamizzano pillole magiche, lavori dal guadagno facile, vincite in qualche concorso a premi milionari e altri tipi di falsità il cui scopo è solo quello di consentire a chi le pubblica di monetizzare (anche tanto) i clic degli utenti.
Analisi tecnica di un attacco
L’arma principale utilizzato dai criminal hacker per allestire e condurre una campagna di malvertising è il linguaggio di programmazione JavaScript. Il perché è presto detto.
JavaScript è uno degli strumenti di sviluppo più utilizzati per la realizzazione di pagine Web dinamiche il cui codice viene compilato ed eseguito direttamente sul computer dell’utente e non sul server che ospita il sito Internet. Inoltre, ha il grande vantaggio di essere supportato nativamente da tutti i browser Web.
Ma la caratteristica principale di JavaScript che più fa gola ai criminal hacker è quella che consente di eseguire il codice sorgente al verificarsi di una qualche particolare condizione come può essere, per l’appunto, il clic su un banner pubblicitario o su un’immagine contenuta in una pagina Web.
Iniettando codice malevolo in un sito anche legittimo, i criminal hacker possono quindi fare in modo che, mentre l’utente carica la pagina Web nel browser, compila un form o carica dei contenuti, venga scaricato il payload del malware. Così facendo, possono portare a termine un attacco di tipo drive by download e compromettere il computer della vittima senza che quest’ultima si accorga di nulla.
Questa tecnica fraudolenta è stata utilizzata durante una campagna di malvertising scoperta la scorsa estate dai ricercatori di sicurezza di Check Point e che ha coinvolto migliaia di siti Web compromessi che usavano la versione 4.7.7.1 di WordPress, quindi vulnerabile ad attacchi di tipo Remote Code Execution (RCE).
In pratica, i criminal hacker si sono presentati come inserzionisti sul mercato pubblicitario, nascondendosi dietro la fantomatica azienda Master134. Gli attaccanti hanno quindi intercettato tutto il traffico dei siti WordPress compromessi rivendendolo ad AdsTerra, una piattaforma di Real Time Bidding (RTB) che lo ha poi venduto ad altri rivenditori (ExoClick, EvoLeads e AdventureFeeds). Questi ultimi hanno a loro volta rivenduto il traffico all’inserzionista che fece l’offerta più alta e cioè proprio la Master134 controllata dai criminal hacker.
È inutile dire che la finta società non aveva, ovviamente, alcuna inserzione da vendere ma solo ransomware, trojan bancari e altri pericolosi malware da diffondere.
I consigli per difendersi dal malvertising
Come abbiamo visto, il malvertising è una tipologia di attacco particolarmente subdola che sfrutta il fattore umano e tutte le debolezze ad esso connesso.
La prima arma di difesa, soprattutto in ambito aziendale, è dunque la security awareness dei dipendenti, cioè la loro sensibilizzazione sull’importanza della sicurezza informatica. Una soluzione di sicurezza che fonda le basi sul presupposto che l’utente finale quando clicca su un banner o un’immagine, ma anche su un link contenuto in un’e-mail di phishing o di spam, lo fa perché non sa riconoscere una e-mail legittima da una non legittima non avendo una cultura IT tale da aiutarlo a riconoscere gli indizi che possono fargli accendere l’allarme.
È quindi buona norma installare sul computer un buon antimalware da tenere sempre aggiornato, ancora meglio se integra funzionalità di analisi comportamentale e isolamento in sandbox che, pur non garantendo l’immunità, offrono comunque un buon grado di identificazione dei malware noti e meno noti.
Per proteggere una rete locale è poi utile adottare anche un firewall per il controllo degli accessi.
È poi fondamentale aggiornare costantemente non solo il sistema operativo ma anche il browser e i relativi add-on ed estensioni.
Infine, può tornare utile anche un adblocker come uBlock Origin che permette di avere il controllo sull’esecuzione di banner, script e popup presenti sui siti Web.
