HUMAN acaba con un fraude publicitario masivo llamado VASTFLUX
HUMAN Security ha anunciado el desmantelamiento de una sofisticada operación de fraude publicitario en la que se falsificaron más de 1.700 Apps, dirigidas a 120 publishers, que publicaban anuncios dentro de Apps en casi 11 millones de dispositivos y alcanzaban un volumen máximo de 12.000 millones de solicitudes de anuncios al día. El ataque inyectaba código JavaScript malicioso en los anuncios digitales, lo que permitía a los estafadores apilar docenas de anuncios de vídeo unos sobre otros y registrar visualizaciones de anuncios completamente invisibles para el usuario.
Apodado VASTFLUX, el nombre deriva del concepto de "fast flux" (flujo rápido), una técnica de evasión utilizada por los ciberdelincuentes, y de VAST, la plantilla de publicación de anuncios de vídeo digital que se explotó en esta operación. Se trata de la mayor operación descubierta por el equipo de investigación e inteligencia de amenazas Satori de HUMAN, con un pico de más de 12.000 millones de solicitudes de anuncios al día, alcanzando el mayor volumen diario de cualquier operación descubierta por el equipo Satori y eclipsando los volúmenes máximos de las anteriores interrupciones de alto perfil de HUMAN, incluyendo Methbot, PARETO y 3ve. Esta operación se ha cerrado mediante un desmantelamiento privado dirigido por HUMAN, protegiendo a todo el ecosistema de publicidad programática de esta organización ciberdelictiva. HUMAN sigue vigilando a los operadores de VASTFLUX.
"Lo que era técnicamente impresionante e increíblemente preocupante sobre VASTFLUX era que los estafadores secuestraban impresiones en aplicaciones legítimas, lo que hace que sea casi imposible para los usuarios saber si están afectados", dijo Gavin Reid, recién nombrado CISO de HUMAN. "Orquestar un desmantelamiento privado de esta magnitud y gravedad no es poca cosa, y quiero tomarme un momento para agradecer a todos los involucrados, incluido el equipo de inteligencia e investigación de amenazas HUMAN Satori, el equipo de clean.io y los líderes de la industria que conforman The Human Collective que se dedican a hacer que el ecosistema programático sea seguro y humano."
El equipo de Satori encontró VASTFLUX mientras investigaba una aplicación iOS que fue fuertemente impactada por un ataque de suplantación de aplicaciones. VASTFLUX es un esquema muy sofisticado, que explota la señal limitada disponible para los socios de verificación en el entorno al que se dirigían: la publicidad in-app, particularmente en iOS. El fraude VAST ha evolucionado hasta el spoofing de ofertas en una plataforma para hacerlas aparecer en otra, lo que convierte a estos ataques entre plataformas en un enemigo formidable.
HUMAN colaboró estrechamente con sus socios de Human Collective para obtener información adicional sobre los volúmenes de tráfico y las etiquetas de verificación que utilizaban en sus anuncios. En un plazo de dos semanas, el equipo Satori de HUMAN desplegó tres medidas de mitigación distintas para proteger a los clientes frente a VASTFLUX, seguidas del desmantelamiento privado.
El desmantelamiento de la operación VASTFLUX se produce tan solo tres meses después de que el equipo Satori anunciara el desmantelamiento de Scylla, una operación fraudulenta dirigida a kits de desarrollo de software publicitario (SDK) dentro de 9 aplicaciones de la App Store de Apple y 80 aplicaciones de Android en la Play Store de Google, que en conjunto se descargaron más de 13 millones de veces.
La sofisticación de VASTFLUX subraya un elemento crucial de la defensa moderna, que nos permite alterar la economía de la ciberdelincuencia aumentando los costes para los ciberdelincuentes y reduciendo al mismo tiempo el coste de la protección colectiva. Cuanto más trabajemos juntos en el sector, más tendrán que esforzarse los ciberdelincuentes para conseguir que un plan concreto se mantenga durante un tiempo significativo.