🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Voltar
Inteligência do adversário

Cadeia de redirecionamento: serviços de publicidade que estão sendo abusados por agentes de ameaças para redirecionar usuários para sites adultos, de apostas e de malware

Os agentes de ameaças têm abusado dos serviços de publicidade para veicular malware aos usuários e redirecionar o tráfego para sites que compram serviços deles.
8
min
Tabela de conteúdo
Exemplo H2
Exemplo H2

Sumário executivo

Os agentes de ameaças têm abusado dos serviços de publicidade para veicular malware aos usuários e redirecionar o tráfego para sites que compram serviços deles. Para contornar os mecanismos de detecção desenvolvidos por esses sites e descobrir domínios maliciosos, os agentes de ameaças utilizam uma técnica chamada “Cadeia de redirecionamento”, na qual o domínio malicioso é exibido no último redirecionamento, em vez de incorporá-lo no banner do anúncio pop-up. Embora a técnica seja simples, sua grande escala é alarmante, pois os agentes da ameaça conseguiram utilizar uma enorme rede de Mais de 9.000 domínios para fazer o mesmo.

Para se proteger contra anúncios maliciosos em sites legítimos, instale bloqueadores de anúncios e mantenha o software atualizado. Use um pacote de segurança abrangente, ajuste as configurações do navegador e tenha cuidado com anúncios suspeitos, verificando os URLs antes de clicar. Mantenha-se informado sobre ameaças on-line, use plug-ins click-to-play e considere uma VPN para aumentar a privacidade.

Modus Operandi

Abusando dos serviços de publicidade

A utilização de anúncios como um canal para a entrega de malware provou ser uma estratégia extremamente lucrativa para os agentes de ameaças. A natureza inerente dos anúncios on-line, que estão presentes na Internet, oferece uma base de usuários ampla e desavisada como vítimas em potencial. Atores mal-intencionados exploram a confiança que os usuários depositam em plataformas de publicidade legítimas, aproveitando o vasto alcance e a frequência da exibição de anúncios para maximizar seu impacto. Ao comprometer redes de anúncios ou incorporar códigos maliciosos em anúncios aparentemente inofensivos, os agentes de ameaças podem transmitir malware, de trojans a ransomware, diretamente nos dispositivos dos usuários. Essa abordagem fornece um meio econômico para os invasores implantarem suas cargas maliciosas sem a necessidade de mecanismos de distribuição elaborados. Ou os agentes da ameaça criam contas nessas plataformas de publicidade usando documentos falsificados. Ou, em alguns casos, obtenha as credenciais para contas em vários sites de publicidade a partir do malware infostealer.

Todo o ecossistema se alimenta de si mesmo e é um ciclo completo, pois as mesmas contas de origem são usadas para fornecer malware que rouba informações e comprometer mais usuários.

Alguns dos serviços de publicidade populares que estão sendo abusados pelos atores da ameaça são:

  • Asterra
  • Anúncios ricos
  • Anúncios suculentos

Atores de ameaças discutindo o uso de serviços de publicidade para entregar malware em um fórum da dark web

A maioria dos serviços de publicidade permite injetar domínios junto com o anúncio exibido, o que, uma vez clicado, redirecionará o usuário para esse domínio específico. No entanto, a injeção de domínios maliciosos nesses banners de anúncios pode fazer com que as contas usadas pelos agentes da ameaça sejam colocadas na lista negra das plataformas de publicidade. Porque a maioria deles tem mecanismos para impedir que domínios maliciosos sejam injetados nos banners publicitários. Para evitar isso, os agentes de ameaças usam uma técnica chamada”Cadeia de redirecionamento”.

A cadeia de redirecionamento

Quando um usuário clica em qualquer um dos anúncios veiculados pelos agentes da ameaça, ele é levado a um domínio que não veicula nenhum tipo de malware, mas apenas redireciona o usuário para o próximo domínio. Este é o primeiro elo da cadeia e podemos chamá-lo de”Domínio de impressão digital”.

O domínio da impressão digital

Esse primeiro domínio executa scripts no navegador do usuário e detecta várias coisas, como se o navegador está sendo executado em um emulador, dispositivo do usuário, região etc. Com base nesses dados e no tipo de banner de anúncio clicado pelo usuário, ele cria um perfil exclusivo para cada usuário e atribui um parâmetro chamado “chave”. Isso é exclusivo para cada usuário e esse parâmetro é enviado junto com a solicitação get para o próximo domínio chamado”.Domínio Matcher”.

O domínio Matcher

O “Matcher Domain” recebe alguns parâmetros do “Fingerprinting Domain” e, com base nisso, decide qual site finalmente servir ao usuário. No back-end, ele toma essa decisão com base em fatores como a geolocalização do usuário, a preferência do usuário em clicar em anúncios etc. Por exemplo, se alguém clicar em um anúncio relacionado a finanças, é mais provável que seja redirecionado para domínios fraudulentos relacionados à criptografia. O domínio até detecta se a solicitação está sendo feita via VPN ou Tor e, em seguida, fornece ao usuário um domínio fixo ou o redireciona para o Google.

Domínio Matcher detectando VPN sendo usada por um usuário

Domínio final

Geralmente, esse é o domínio malicioso que solicita que os usuários baixem um software específico ou se registrem em um site de apostas, ou que habilitem notificações para que anúncios constantes possam ser enviados pelo usuário para o desktop. Este domínio é o último na cadeia como

Um domínio final malicioso solicitando que o usuário ative as notificações

Um exemplo de cadeia de redirecionamento em ação pode ser visto aqui: https://drive.google.com/file/d/1yeLJotDlZJviHKg-T_Gd06DSt5vEl8sk/view?usp=sharing

Uma visão geral de alto nível da cadeia de redirecionamento

Infraestrutura

O que é alarmante sobre esse método usado pelos agentes da ameaça é a grande escala de sua infraestrutura. Conseguimos identificar 10 endereços IP, em cada um dos quais mais de 9.000 domínios foram apontados nos últimos 30 dias! No entanto, como os IPs estão sendo alternados, a contagem exclusiva é de 9442 domínios. Para obter um número tão grande de nomes de domínio, os agentes de ameaças usam algum tipo de automação ou fornecem sites hackeados que já estão à venda em massa em vários fóruns da dark web.

IP

ASN

173.233.137.36

AS 7979 ( SERVERS-COM )

173.233.137.44

AS 7979 ( SERVERS-COM )

173.233.137.52

AS 7979 ( SERVERS-COM )

173.233.137.60

AS 7979 ( SERVERS-COM )

173.233.139.164

AS 7979 ( SERVERS-COM )

192.243.59.12

AS 39572 ( DataWeb Global Group B.V. )

192.243.59.13

AS 39572 ( DataWeb Global Group B.V. )

192.243.59.20

AS 39572 ( DataWeb Global Group B.V. )

192.243.61.225

AS 39572 ( DataWeb Global Group B.V. )

192.243.61.227

AS 39572 ( DataWeb Global Group B.V. )



Certos números de sistema autônomo (ASNs) ganharam notoriedade por sua associação com atividades relacionadas a phishing e malware. Essa reputação geralmente decorre de uma variedade de fatores, como:

  • Um problema comum é a presença de medidas de segurança frouxas nesses ASNs, tornando-os alvos atraentes para cibercriminosos que exploram vulnerabilidades e hospedam conteúdo malicioso. Além disso, alguns ASNs permitem que os usuários registrem serviços anonimamente, fornecendo um ambiente propício para que agentes mal-intencionados operem sem fácil identificação.
  • O conceito de “hospedagem à prova de balas” é predominante, em que ASNs ou provedores de hospedagem específicos ignoram intencionalmente atividades ilegais, permitindo a hospedagem de sites de phishing e a distribuição de malware.
  • Redes comprometidas, seja devido à segurança inadequada ou às credenciais comprometidas, podem, sem saber, facilitar essas atividades maliciosas.
  • Outro fator contribuinte é a falha de alguns ASNs em responder prontamente às denúncias de abuso ou tomar medidas suficientes contra atividades ilícitas em suas redes. Mudanças rápidas na propriedade ou no gerenciamento de ASN podem sinalizar instabilidade, criando um ambiente em que ataques de phishing e malware podem prosperar.

Alguns dos ASNs que conseguimos identificar associados à campanha e que foram denunciados por phishing, malware etc. são os seguintes:

IP

ASN

Report

173.233.137.36

AS 7979 ( SERVERS-COM )

https://www.malwareurl.com/ns_listing.php?as=AS7979

192.243.59.12

AS 39572 ( DataWeb Global Group B.V. )

https://www.malwareurl.com/ns_listing.php?as=AS39572

103.224.212.210

AS 133618 ( Trellian Pty. Limited )

https://www.malwareurl.com/ns_listing.php?as=AS133618

15.197.172.60

AS 16509 ( AMAZON-02 )

https://www.malwareurl.com/ns_listing.php?as=AS16509

185.196.197.71

AS 39572 ( DataWeb Global Group B.V. )

https://www.malwareurl.com/ns_listing.php?as=AS39572

34.205.242.146

AS 14618 ( AMAZON-AES )

https://www.malwareurl.com/ns_listing.php?as=AS14618

67.227.226.240

AS 32244 ( LIQUIDWEB )

https://www.malwareurl.com/ns_listing.php?as=AS32244



Análise de código

Um dos javascript maliciosos usados com destaque nesta campanha é um arquivo chamado”invoke.js”. O roteiro está muito ofuscado.

Conteúdo ofuscado de invoke.js

Após a desofuscação, podemos ver que na linha 10 existe uma variável chamada 'Detector de mentiras', que recebe um valor de várias funções que imprimem impressões digitais no navegador e no dispositivo do usuário.

Conteúdo desofuscado de invoke.js

Depois disso, uma vez que o usuário é verificado, com base na chave, o script pode fazer uma solicitação HTTP para outros domínios na mesma campanha e, dessa forma, o usuário passa pela cadeia de redirecionamento.

Conteúdo desofuscado de invoke.js

Mitigações

Para se proteger contra a ameaça de anúncios maliciosos em sites legítimos, considere implementar as seguintes estratégias de mitigação:

  • Bloqueadores de anúncios: Instale extensões de navegador ou software de bloqueio de anúncios confiáveis para filtrar anúncios potencialmente prejudiciais. Essas ferramentas podem impedir o carregamento de conteúdo malicioso, reduzindo o risco de clicar inadvertidamente em um anúncio comprometido.
  • Mantenha o software atualizado: Atualize regularmente seu sistema operacional, navegadores da Web e software de segurança. As atualizações de software geralmente incluem patches para vulnerabilidades que os agentes de ameaças podem explorar para fornecer malware por meio de anúncios.
  • Use um pacote de segurança: Use um pacote de segurança abrangente que inclui recursos como antimalware, anti-phishing e detecção de ameaças em tempo real. Isso pode adicionar uma camada extra de defesa contra anúncios maliciosos.
  • Configurações de segurança do navegador: Ajuste as configurações de segurança do seu navegador para o nível mais alto. Defina as configurações para bloquear pop-ups, desativar downloads automáticos e ativar recursos de segurança baseados em navegador que podem ajudar a identificar e bloquear conteúdo malicioso.
  • Tenha cuidado e verifique: Seja cético em relação a anúncios que parecem bons demais para serem verdadeiros ou que usem uma linguagem sensacionalista. Evite clicar em anúncios suspeitos e passe o mouse sobre os links para visualizar o URL de destino antes de clicar para verificar sua legitimidade.
  • Eduque-se: Mantenha-se informado sobre ameaças e táticas on-line comuns usadas pelos cibercriminosos. Estar ciente dos riscos potenciais pode permitir que você reconheça e evite se envolver com anúncios maliciosos.
  • Ative os plug-ins do Click-to-Play: Configure seu navegador para exigir permissão antes de executar plug-ins como Flash ou Java. Dessa forma, conteúdo potencialmente prejudicial não será executado sem seu consentimento explícito.
  • Use uma rede privada virtual (VPN): Usar uma VPN pode ajudar a mascarar suas atividades on-line e adicionar uma camada extra de privacidade e segurança, reduzindo o risco de anúncios maliciosos direcionados.
  • Backups regulares: Faça backup regularmente de seus arquivos importantes em uma unidade externa ou em um serviço de nuvem seguro. No caso de uma infecção por malware, ter backups atualizados garante que você possa restaurar seu sistema sem perder dados essenciais.
  • Monitore a atividade da conta: Analise regularmente suas contas financeiras e on-line em busca de qualquer atividade suspeita. Anúncios maliciosos podem tentar induzir os usuários a fornecer informações confidenciais, portanto, ficar atento é crucial para a detecção e resposta precoces.

Referências

#Protocolo de semáforo - Wikipedia

Vikas Kundu
A naturally curious mind driven by the need to understand how things work and how to make them better. Passionate about learning, experimenting, and exploring new ideas across technology and security.
Vikas Kundu
A naturally curious mind driven by the need to understand how things work and how to make them better. Passionate about learning, experimenting, and exploring new ideas across technology and security.

Blogs relacionados

Este é um texto dentro de um bloco div.
Inteligência do adversário
March 6, 2026
7
min
AI, the Iran-US Conflict, and the Threat to US Critical Infrastructure
Leia mais
Este é um texto dentro de um bloco div.
Inteligência do adversário
March 5, 2026
5
min
A Threat Actor Landscape Assessment of ICS/OT Targeting in the 2026 Iran-US Conflict AND THE SCALE OF THE RISK
Leia mais
Este é um texto dentro de um bloco div.
Inteligência do adversário
March 3, 2026
7
min
Campanha do Trojan RedAlert: falso aplicativo de alerta de emergência espalhado por SMS falsificando o Comando da Frente Interna de Israel
Leia mais