“Click Fraud”. Descubriendo abusos de pago por clic.Abuso de servicios cloud para multiplicar ataques

Click Fraud. Descubriendo abusos de pago por clic.

17/03/2015, por Francisco J. Rodríguez (INCIBE)

El pasado mes de Diciembre de 2014 nuestras honeypots informaron de ataques de fuerza bruta contra servidores SSH realizados desde equipos pertenecientes a Amazon. Cuando se analizaron los ataques, se constató que una vez el atacante conseguía el acceso a un servidor SSH, hacía uso del mismo para realizar conexiones a múltiples sitios web con anuncios publicitarios. El objetivo final buscado era generar beneficios económicos simulando visitas a los anunciantes alojados en la página, tal y como haría una persona real que hiciera clic de ratón sobre los banners publicitarios.

Amazon fue notificado y días después los ataques remitieron en nuestras Honeypot, situación que se ha mantenido hasta la actualidad.

-Vista del Visor de Honeypot mostrando ataques desde el Cloud de Amazon –

Abuso de servicios cloud para multiplicar ataques

A día de hoy, tres meses después, el patrón de ataque se repite pero esta vez desde Google Cloud. El vector de ataque es el mismo: búsqueda y ataque a servidores SSH con credenciales débiles con el objeto de conseguir acceso y realizar desde los mismos visitas a páginas con contenido publicitario. Las páginas, presuntamente propiedad de los atacantes se prestan a incluir ya no sólo banners de publicidad para monetizar el acceso, sino además alojar malware.

En este caso, los atacantes aprovechan los 60 días gratis del servicio Google Cloud  (se abre en nueva ventana) para poner en funcionamiento su maquinaria de ataque.

-Vista del Visor de Honeypot mostrando ataques desde el Cloud de Google –

Ataque SSH por fuerza bruta

En los ataques analizados se observa un claro patrón de fuerza bruta basada en diccionario consiguiéndose el acceso a la honeypot con las credenciales admin / admin.

El inicio de los ataques se detectan con fecha del 09/03/2015. Inmediatamente pasan a estudio y tras determinarse un comportamiento malicioso se comunica a Google.

Un caso de Click Fraud

Resultado del análisis se confirmó un claro patrón objetivo de Click Fraud  (se abre en nueva ventana):

Los servidores de publicidad utilizados son numerosos:

– Dominios proveedores de anuncios utilizados en este caso de click fraud –

De entre las páginas contenedoras de anuncios destaca http://www.uptodatedaily.com :

– Pagina utilizada como base contenedora de anuncios –

Este sitio, supuestamente propiedad del atacante ha sido diseñado para conseguir ingresos por publicidad. Consultando la información del registro del dominio podemos llegar a determinar el propietario del mismo para realizar posteriores investigaciones para confirmar la intencionalidad.

Este sitio web presenta varios banners de publicidad (el banner superior va variando):

foto

– Aspecto del sitio contenedor de anuncios utilizado  –

El atacante intenta acceder al mayor número de servidores SSH como sea posible para, una vez conseguido el acceso, realizar de forma automatizada visitas a los sitios web previamente preparados con contenidos publicitarios. Una vez en la página, el atacante va accediendo a cada uno de los banners de publicidad presentes en la página, que a su vez conectan con otros servicios de publicidad para generar el correspondiente pago:

– Peticiones para visitar los sitios anunciados Obsérvese la cabecera “Referer”, que indica la página desde donde se realiza la visita –

Este ataque es tanto más beneficioso cuanto mayor es el número de máquinas SSH vulneradas puesto que desde cada una de ellas se consiguen visitas válidas para obtener el pago por clic.  (se abre en nueva ventana)

Desde INCIBE, volvemos a alertar sobre la importancia de proteger cualquier sistema expuesto a internet con credenciales lo suficientemente robustas puesto que, en caso contrario, serán víctima de prácticas como la descrita.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s