Durante los primeros días de junio, los medios informaban que un adware llamado Fireball —que usualmente acompaña a software gratuito, o freeware— creó una brecha de ciberseguridad en 250 millones de PCs. Esta “campaña” secuestra y manipula el tráfico web de los usuarios, probablemente para generar ingresos de publicidad, pero los investigadores de seguridad dicen que Fireball también tiene la capacidad de realizar cualquier acción en la máquina de las víctimas, creando una “puerta trasera” que potencialmente pone a las PCs en riesgo.
Esta muestra basta para entender cómo esta herramienta de generación de ingresos puede ser también un puente de desembarco para los cibercriminales. Una de las conclusiones del reciente “Informe anual sobre ciberseguridad de 2017 de Cisco” señala que el 75 % de las empresas consultadas (130 en diversos verticales) sufren infecciones por adware. Cada vez en mayor medida, los operadores que están detrás de las campañas de publicidad maliciosa utilizan agentes (también denominados “puertas”), que les permiten moverse con mayor velocidad, mantener su espacio operativo y evadir la detección. Estos enlaces intermediarios permiten que los atacantes pasen rápidamente de un servidor malicioso a otro sin cambiar el redireccionamiento inicial.
El informe define: “El adware, cuando se utiliza para fines legítimos, es el software que descarga o muestra publicidades a través de redireccionamientos, elementos emergentes y herramientas que introducen anuncios, y que genera ingresos para sus creadores”. El problema es que los ciberdelincuentes también están usando el adware como una herramienta para aumentar su flujo de ingresos. “Utilizan adware malicioso no sólo para beneficiarse de introducir publicidades, sino también como primer paso para facilitar otras campañas de malware, como el malware DNSChanger. El adware malicioso se distribuye a través de paquetes de software; los editores crean un programa de instalación con una aplicación legítima junto con docenas de aplicaciones de adware malicioso”, resume el informe.
El informe clasifica el adware en cuatro grupos, según el comportamiento principal de cada componente:
- Herramientas que introducen anuncios: este adware generalmente reside en el navegador y puede afectar a todos los sistemas operativos.
- Secuestradores de las configuraciones del navegador: este componente de adware puede modificar las configuraciones de las computadoras para que el navegador sea menos seguro.
- Utilidades: esta es una categoría grande y en crecimiento de adware. Las utilidades son aplicaciones web que ofrecen un servicio útil para los usuarios, como optimización de PC. Estas aplicaciones puedan introducir publicidades, pero su objetivo principal es convencer a los usuarios de pagar por el servicio. Sin embargo, en muchos casos, las utilidades son simples estafas y no proporcionan ningún beneficio para los usuarios.
- Aplicaciones de descarga: este adware puede ofrecer otro software, como una barra de herramientas.
Los delincuentes usan adware para:
- Introducir publicidades, que pueden generar otras infecciones o exposición a kits de ataque.
- Cambiar la configuración de navegadores y sistemas operativos para debilitar la seguridad.
- Corromper antivirus u otros productos de seguridad.
- Obtener control total del host, para poder instalar otro software malicioso.
- Realizar el seguimiento de usuarios por ubicación, identidad, servicios utilizados y sitios visitados frecuentemente.
- Retirar información, como datos personales, credenciales e información sobre la infraestructura (por ejemplo, las páginas de ventas internas de una empresa).
En el caso de Fireball, la magnitud del daño a las organizaciones comienza a volverse evidente. Los investigadores de Check Point dicen que ha infectado 25 millones de usuarios en la India, 24 millones en Brasil, 16 millones en México, y 13 millones en Indonesia. Los análisis de Check Point aseguran que ha infectado 5,5 millones en los Estados Unidos, con el 10% de las corporaciones de ese país afectadas. También se cree que un porcentaje similar de corporaciones del Reino Unido, Francia y Alemania tienen al menos una máquina con el adware Fireball en ella. Los principales proveedores de programas antivirus incluyen en sus suites herramientas para remover adware. Lo importante es que estas herramientas estén actualizadas.
