Miles de sitios web pertenecientes a agencias gubernamentales de EE. UU., universidades líderes y organizaciones profesionales han sido secuestradas durante la última media década y utilizadas para impulsar ofertas y promociones fraudulentas, según ha descubierto una nueva investigación. Muchas de estas estafas están dirigidas a niños e intentan engañarlos para que descarguen aplicaciones, malware o envíen datos personales a cambio de recompensas inexistentes en Fortnite y Roblox.
Durante más de tres años, el investigador de seguridad Zach Edwards ha estado rastreando estos secuestros y estafas de sitios web. Él dice que la actividad se puede vincular a las actividades de los usuarios afiliados de una empresa de publicidad. La empresa registrada en los EE. UU. actúa como un servicio que envía tráfico web a una variedad de anunciantes en línea, lo que permite que las personas se registren y usen sus sistemas. Sin embargo, en un día cualquiera, Edwards, gerente sénior de información sobre amenazas en Human Security, descubre decenas de dominios .gov, .org y .org comprometidos.
“Este grupo es lo que yo consideraría el grupo número uno en comprometer la infraestructura a granel en Internet y alojar estafas y otros tipos de exploits”, dice Edwards. La escala de los compromisos del sitio web, que están en curso, y la naturaleza pública de las estafas las hace destacar, dice el investigador.
Cortesía de Mateo Burgess
Los esquemas y las formas en que las personas ganan dinero son complejos, pero cada uno de los sitios web está secuestrado de manera similar. Los atacantes explotan las vulnerabilidades o debilidades en el backend de un sitio web, o su sistema de administración de contenido, que cargan archivos PDF maliciosos en el sitio web. Estos documentos, que Edwards llama «PDF venenosos», están diseñados para aparecer en los motores de búsqueda y promover «archivos gratuitos». Fortnite pieles”, generadores de Robloxla moneda del juego o flujos baratos de Barbie, Oppenheimery otras películas populares. Los archivos están repletos de palabras que la gente puede buscar sobre estos temas.
Cuando alguien hace clic en los enlaces de los PDF maliciosos, puede ser empujado a través de múltiples sitios web, lo que finalmente los dirige a páginas de destino fraudulentas, dice Edwards, quien presentó los hallazgos en la conferencia de seguridad Black Hat en Las Vegas. Hay «muchas páginas de destino que parecen súper dirigidas a los niños», dice.
Por ejemplo, si hace clic en el enlace en un PDF que anuncia monedas gratis para un juego en línea, se lo dirige a un sitio web donde le pide su nombre de usuario y sistema operativo en el juego, antes de preguntarle cuántas monedas quiere gratis. Aparece una ventana emergente que dice «¡Último paso!» Esta «página de casillero» afirma que las monedas del juego gratuito se desbloquearán si se registra en otro servicio, ingresa datos personales o descarga una aplicación. “Lo he probado cientos de veces”, dice Edwards. Nunca ha recibido una recompensa. Cuando las personas son guiadas a través de este laberinto de páginas y terminan descargando una aplicación, ingresando detalles personales o cualquier cantidad de acciones requeridas, los que están detrás de las estafas pueden ganar dinero.
Este tipo de estafas ha existido por un tiempo, dicen los investigadores de fraude publicitario. Pero estos se destacan, ya que todos tienen vínculos con la empresa de publicidad CPABuild y los miembros que trabajan para su red, dice Edwards. Todos los sitios web comprometidos que tienen archivos PDF cargados están llamando a servidores de comando y control propiedad de CPABuild, dice Edwards. “Están impulsando campañas publicitarias en la infraestructura de otra persona”, dice. Buscar en Google un archivo vinculado a los PDF muestra páginas de resultados de sitios web comprometidos.