Miles de sitios web pertenecientes a agencias gubernamentales de EE. UU., universidades líderes y organizaciones profesionales han sido secuestrados durante la última media década y utilizados para impulsar ofertas y promociones fraudulentas, según ha descubierto una nueva investigación. Muchas de estas estafas están dirigidas a niños e intentan engañarlos para que descarguen aplicaciones, malware o envíen datos personales a cambio de recompensas inexistentes en Fortnite y Roblox.
Durante más de tres años, el investigador de seguridad Zach Edwards ha estado rastreando estos secuestros y estafas de sitios web. Él dice que la actividad se puede vincular a las actividades de los usuarios afiliados de una empresa de publicidad. La empresa registrada en los EE. UU. actúa como un servicio que envía tráfico web a una variedad de anunciantes en línea, lo que permite que las personas se registren y usen sus sistemas. Sin embargo, en un día cualquiera, Edwards, gerente sénior de información sobre amenazas en Human Security, descubre decenas de dominios .gov, .org y .edu que están comprometidos.
“Este grupo es lo que yo consideraría el grupo número uno en comprometer la infraestructura a granel en Internet y alojar estafas y otros tipos de exploits”, dice Edwards. La escala de los compromisos del sitio web, que están en curso, y la naturaleza pública de las estafas las hace destacar, dice el investigador.
Los esquemas y las formas en que las personas ganan dinero son complejos, pero cada uno de los sitios web está secuestrado de manera similar. Los atacantes explotan las vulnerabilidades o debilidades en el backend de un sitio web, o su sistema de administración de contenido, que cargan archivos PDF maliciosos en el sitio web. Estos documentos, que Edwards llama «PDF venenosos», están diseñados para aparecer en los motores de búsqueda y promover «archivos gratuitos». Fortnite pieles”, generadores de Robloxla moneda del juego o flujos baratos de Barbie, Oppenheimery otras películas populares. Los archivos están repletos de palabras que la gente puede buscar sobre estos temas.
Cuando alguien hace clic en los enlaces de los PDF maliciosos, puede ser empujado a través de múltiples sitios web, lo que finalmente los dirige a páginas de destino fraudulentas, dice Edwards, quien presentó los hallazgos en la conferencia de seguridad Black Hat en Las Vegas. Hay «muchas páginas de destino que parecen súper dirigidas a los niños», dice.
Por ejemplo, si hace clic en el enlace en un PDF que anuncia monedas gratis para un juego en línea, se lo dirige a un sitio web donde le pide su nombre de usuario y sistema operativo en el juego, antes de preguntarle cuántas monedas quiere gratis. Aparece una ventana emergente que dice «¡Último paso!» Esta «página de casillero» afirma que las monedas del juego gratuito se desbloquearán si se registra en otro servicio, ingresa datos personales o descarga una aplicación. “Lo he probado cientos de veces”, dice Edwards. Nunca ha recibido una recompensa. Cuando las personas son guiadas a través de este laberinto de páginas y terminan descargando una aplicación, ingresando detalles personales o cualquier cantidad de acciones requeridas, los que están detrás de las estafas pueden ganar dinero.
Este tipo de estafas ha existido por un tiempo, dicen los investigadores de fraude publicitario. Pero estos se destacan, ya que todos tienen vínculos con la empresa de publicidad CPABuild y los miembros que trabajan para su red, dice Edwards. Todos los sitios web comprometidos que tienen archivos PDF cargados están llamando a servidores de comando y control propiedad de CPABuild, dice Edwards. “Están impulsando campañas publicitarias en la infraestructura de otra persona”, dice. Buscar en Google un archivo vinculado a los PDF muestra páginas de resultados de sitios web comprometidos.
El sitio web de CPABuild, que enumera su registro legal en Nevada, se describe a sí mismo como una «red de bloqueo de contenido ante todo». La empresa, que existe desde 2016, aloja tareas de sus clientes, como dar a las personas la oportunidad de ganar dinero al enviar su correo electrónico y los detalles de su código postal. Luego, los usuarios de CPABuild, a menudo conocidos como afiliados, intentan que las personas completen estas ofertas. A menudo lo hacen a través de enlaces de spam a comentarios de YouTube o creando el tipo de páginas emergentes de «casillero» hacia el final de la cadena de clics de PDF venenosos. Este proceso basado en resultados es conocido como costo por acción (CPA) por anunciantes y especialistas en marketing.
WIRED se comunicó con varias direcciones de correo electrónico que figuran en el sitio web de CPABuild y envió preguntas a través de un formulario de contacto, pero no recibimos ninguna respuesta. El sitio web de la compañía no nombra a ninguna persona que esté detrás de CPABuild y es escaso en detalles generales. El sitio web afirma que tiene controles de fraude «diarios» para detectar a los malos que abusan de su plataforma, y sus términos de servicio prohíben que quienes lo usan se involucren en fraudes y compartan múltiples tipos de contenido.
El sitio web afirma que ha pagado más de $ 40 millones a los editores y tiene miles de plantillas y páginas de destino. Dentro de CPABuild, hay varios niveles de usuarios. La estructura de afiliados del sitio web se muestra en una imagen en su página de inicio. Los miembros pueden clasificarse como gerentes, diablos, demonios, magos, maestros y caballeros. En un video subido por un miembro de CPABuild el 11 de agosto, se puede ver una cuenta de administrador compartiendo un mensaje con los usuarios que indica que la empresa ha tomado medidas para evitar que la plataforma se use para cometer fraude. “Todavía recibimos informes de que los editores de CPABuild están promocionando ofertas de manera que violan nuestros términos de servicio”, se lee en un mensaje que se ve en la pantalla. La investigación de Edwards muestra, sin embargo, que cualquier esfuerzo que haya realizado CPABuild no ha logrado evitar que sus usuarios se involucren en un fraude desenfrenado.
“El fraude de CPA, que incluye el costo por instalación de la aplicación, es muy común”, dice Augustine Fou, investigador independiente de ciberseguridad y fraude publicitario, quien revisó un resumen de los hallazgos de Edwards. “Especialistas como los identificados en la investigación crean un nicho en el que se convierten en líderes de categoría en un tipo particular de fraude”, dice Fou. “Los clientes acuden a ellos por esa especialidad”.
Decenas de sitios web se ven afectados actualmente por los archivos PDF. Esta semana, el Departamento de Servicios Financieros del Estado de Nueva York eliminó los archivos PDF cargados luego de que WIRED se comunicara con ellos. Ciara Marangas, portavoz del departamento, dice que el problema se identificó por primera vez en 2022 y, luego de una revisión y pasos adicionales, se eliminaron los archivos.