Rede de publicidade oculta scripts mineradores de criptomoedas em anúncios

De acordo com informações recentes, uma rede de publicidade está ocultando scripts mineradores de criptomoedas nos anúncios servidos nos sites de seus clientes desde dezembro de 2017.

A equipe Qihoo 360 Netlab afirma que esta rede de publicidade também descobriu uma forma de burlar os bloqueadores de anúncios, já que muitos deles são capazes de bloquear os scripts.

A rede de publicidade não teve o nome revelado, mas os pesquisadores de segurança se referem a ela como DGA.popad.

Rede de publicidade oculta scripts mineradores de criptomoedas em anúncios

Para burlar os bloqueadores de anúncios, ela utiliza um método que também é utilizado por muitos malwares – DGA ou algoritmo gerador de domínios.

Muitos malwares, principalmente trojans bancários, utilizam DGAs para criação de nomes de domínio únicos para cada dia em que os hospedeiros infectados se conectam para receber novos comandos do servidor de comando e controle dos criminosos.

Rede de publicidade oculta scripts mineradores de criptomoedas em anúncios Baboo - Tecnologia e Ciência

DGAs são eficientes porque apenas o autor do malware sabe como o algoritmo funciona e eles registram os domínios antecipadamente já sabendo que o malware se conectará a ales em algum momento. Quando os pesquisadores de segurança conseguem quebrar os algoritmos, isto normalmente ajuda as autoridades a derrubarem a infraestrutura do malware.

No caso da DGA.popad, ela usa DGAs para gerar novos domínios em intervalos regulares. Estes domínios servem como backup caso os usuários visualizando os anúncios tenham um bloqueador de anúncios instalado.

Os scripts mineradores de criptomoedas nos anúncios servidos são baseados no CoinHive e utilizam recursos do computador do usuário para minerar a criptomoeda conhecida como Monero.

Para usuários sem um bloqueador de anúncios, a estratégia da DGA.popad funciona assim:

– Usuário recebe os anúncios a partir dos domínios principais da rede.

– A rede de publicidade executa o script minerador oculto junto com o anúncio.

Para usuários com um bloqueador de anúncios, a estratégia da DGA.popad funciona assim:

– O usuário bloqueia os anúncios servidos pelo domínio principal da rede.

– A rede de publicidade carrega os anúncios usando um domínio alternativo gerado via DGA.

– A rede também executa o script minerador oculto junto com o anúncio.

Este segundo método é bem eficiente, já que até o bloqueador de anúncios atualizar seus filtros para ser capaz de bloquear os novos domínios, o DGA da rede de publicidade já gerou novos domínios para serem usados.