• ScamClub utiliza etiquetas VAST para redirigir a los usuarios a sitios web fraudulentos.
• Mediante la ofuscación, ScamClub inserta scripts maliciosos en elementos MediaFile en VAST.
• Para protegerse contra tales ataques, es necesario usar verificación en tiempo real.

A finales del año pasado, ScamClub, una red cibercriminal organizada, comenzó a utilizar etiquetas VAST con scripts encriptados para redirigir a los usuarios a sitios web maliciosos. La redirección ocurre independientemente de si el usuario vio el anuncio.

En enero, el número de estos ataques aumentó. Por primera vez, el mercado se enfrentó a un problema a gran escala en el ámbito de la #publicidad en vídeo, que tradicionalmente se consideraba segura. Los editores asumían que el alto costo de dicho tráfico protegería dicho inventario de los estafadores. Por lo tanto, no necesitaban implementar medidas de protección. Esto fue explotado por los criminales.

Aproximadamente una docena de SSP y DSP importantes en diferentes regiones del mundo se vieron afectados por estos ataques. El golpe principal recayó en dispositivos móviles en Estados Unidos, que representaron aproximadamente el 60% de estos ataques.

Entonces, ¿quién está detrás de estos ataques y cómo funcionan?

ScamClub

Este grupo organizado se ha dedicado al fraude publicitario desde 2018. ScamClub utiliza mecanismos complejos como la ofuscación y servidores propios para distribuir su código malicioso.

Cómo Funciona

Este es un ataque extremadamente complejo con múltiples mecanismos para prevenir la detección y el ingeniería inversa por parte de los servicios de seguridad.

• Paso 1: ScamClub coloca código malicioso en el elemento MediaFile de la etiqueta VAST. Este elemento generalmente activa el anuncio. En esta etapa, se recopilan datos del cliente, y el script intenta verificar que no sea llamado por medidas de seguridad (si se detecta tal llamada, no se desplegará el ataque).
• Paso 2: Ejecución del script malicioso encriptado y ofuscado. En primer lugar, el script verifica al cliente en busca de objetivos conocidos.
• Paso 3: La información se transmite al servidor de los criminales. El script hace una solicitud al servidor malicioso, al cual se le pasa información sobre los dispositivos de los usuarios, los programas instalados, y la página web desde la cual se produjo la llamada. En esta etapa, los estafadores realizan otra comprobación para asegurarse de que sus acciones no sean descubiertas.
• Paso 4: Después de que la información del cliente se envía y verifica por el servidor, se devuelve una respuesta a la solicitud POST, que contiene instrucciones que indican al dispositivo del usuario que vaya a un nuevo sitio web. Este código de redirección incluye varios métodos diferentes para iniciar una redirección forzada. Tal estrategia de ataque diversificada aumenta las posibilidades de una redirección exitosa, dificultando que los sistemas de seguridad detecten e identifiquen el ataque.
• Paso 5: El primer dominio obtenido mediante el código inicia una cadena de redirecciones, trasladando al usuario a un sitio web malicioso. Este es el paso final: han entregado tráfico a sus clientes que intentan engañar al usuario.

Protección de Su Inventario

La mejor manera de protegerse para un editor es proporcionar protección en tiempo real que verifique los anuncios de vídeo entregados.

Además, las plataformas publicitarias deberían aumentar la frecuencia de escaneo de sus canales de publicidad en vídeo, ya que no son tan seguros como se pensaba anteriormente.

Para Editores

Es necesario tomar medidas para proteger sus canales publicitarios.

Pronóstico

Los ataques se volverán más sofisticados, requiriendo métodos de protección nuevos y más avanzados.

Más Materiales sobre Este Tema:

• Actualización de la Guía MRC para Definir el Tráfico Inválido
• "Sitios de Publicidad" - Un Nuevo Problema para el Mercado Publicitario
• Anunciantes Pagaron por Anuncios en Forbes.com, Pero Algunos Anuncios Terminaron en un Sitio Falso
• DSPs Acusan a SSPs y Editores de Engaño con Cookies