Click Fraud: descubriendo abusos de pago por clic

El pasado mes de diciembre de 2014 nuestras Honeypots informaron de ataques de fuerza bruta contra servidores SSH realizados desde equipos pertenecientes a Amazon. Cuando se analizaron los ataques, se constató que una vez el atacante conseguía el acceso a un servidor SSH, hacía uso del mismo para realizar conexiones a múltiples sitios web con anuncios publicitarios. El objetivo final buscado era generar beneficios económicos simulando visitas a los anunciantes alojados en la página, tal y como haría una persona real que hiciera clic de ratón sobre los banners publicitarios.

Amazon fue notificado y días después los ataques remitieron en nuestras Honeypot, situación que se ha mantenido hasta la actualidad.

Abuso de servicios Cloud para multiplicar ataques

A día de hoy, tres meses después, el patrón de ataque se repite pero esta vez desde Google Cloud. El vector de ataque es el mismo: búsqueda y ataque a servidores SSH con credenciales débiles con el objeto de conseguir acceso y realizar desde los mismos visitas a páginas con contenido publicitario. Las páginas, presuntamente propiedad de los atacantes se prestan a incluir ya no sólo banners de publicidad para monetizar el acceso, sino además alojar malware.

En este caso, los atacantes aprovechan los 60 días gratis del servicio Google Cloud para poner en funcionamiento su maquinaria de ataque. En los ataques analizados se observa un claro patrón de fuerza bruta basada en diccionario consiguiéndose el acceso a la honeypot con las credenciales admin / admin.

El inicio de los ataques se detectan con fecha del 09/03/2015. Inmediatamente pasan a estudio y tras determinarse un comportamiento malicioso se comunica a Google.

Un caso de Click Fraud

Resultado del análisis se confirmó un claro patrón objetivo de Click Fraud. Los servidores de publicidad utilizados son numerosos y de entre las páginas contenedoras de anuncios destaca www.uptodatedaily.com :

Este sitio, supuestamente propiedad del atacante ha sido diseñado para conseguir ingresos por publicidad. Consultando la información del registro del dominio podemos llegar a determinar el propietario del mismo para realizar posteriores investigaciones para confirmar la intencionalidad.

Este sitio web presenta varios banners de publicidad (el banner superior va variando):

El atacante intenta acceder al mayor número de servidores SSH como sea posible para, una vez conseguido el acceso, realizar de forma automatizada visitas a los sitios web previamente preparados con contenidos publicitarios. Una vez en la página, el atacante va accediendo a cada uno de los banners de publicidad presentes en la página, que a su vez conectan con otros servicios de publicidad para generar el correspondiente pago.

Este ataque es tanto más beneficioso cuanto mayor es el número de máquinas SSH vulneradas puesto que desde cada una de ellas se consiguen visitas válidas para obtener el pago por clic.

Fuente: Francisco J. Rodríguez - INCIBE