La campaña generó alrededor de 30 millones de dólares en ganancias para los criminales
El Buró Federal de Investigación (FBI), Google y múltiples firmas de ciberseguridad y forense digital trabajaron de manera conjunta para derribar uno de los esquemas de fraude en marketing digital más complejos que se haya visto, que consiguió infectar a más de 1.7 millones de equipos de cómputo con el objetivo de generar clics falsos y engañar a los anunciantes en línea durante años, con lo que los operadores del fraude consiguieron ganancias por decenas de millones de dólares.
La campaña fraudulenta, conocida como 3ve, ha estado activa desde al menos 2014, según expertos en forense digital del Instituto Internacional de Seguridad Cibernética. Sin embargo, las actividades maliciosas de sus operadores alcanzaron su punto máximo el año pasado, convirtiéndola en un negocio a gran escala y generando alrededor de 30 millones de dólares en ganancias para los cibercriminales.
Mientras tanto, el Departamento de Justicia (DoJ) de Estados Unidos informó que ha iniciado una acusación compuesta por 13 cargos criminales contra 8 personas en Rusia, Kazajstán y Ucrania, quienes supuestamente fungían como operadores de la campaña.
La campaña 3ve empleó diversas tácticas durante su periodo de actividad, como la creación de sus propias botnets, falsificación de sitios web, secuestro de direcciones IP, uso de proxies para ocultar IP reales e infección de los equipos de las víctimas con malware, todo con el propósito de generar clics falsos en la publicidad en línea y recibir pagos.
Según especialistas en forense digital, 3ve involucró a 1.7 millones de computadoras infectadas con malware, más de 80 servidores y más de 10 mil sitios web falsos a través de más de un millón de direcciones IP comprometidas para generar de 3 a 12 mil millones de solicitudes diarias de ofertas de anuncios.
Acorde a los reportes de Google y las firmas de ciberseguridad participantes, este esquema fraudulento fue nombrado 3ve porque se basa en un conjunto de tres sub operaciones distintas, con cada una tomando sus propias medidas para evitar la detección, además, cada una se basa en arquitecturas diferentes que utilizan componentes diversos.
“Los operadores cambiaban de manera constante sus métodos para ocultar los bots de 3ve, lo que permitió que esta operación continuara su crecimiento, incluso después de que su tráfico fuera detectado. Cuando eran bloqueados en algún sitio, volvían a aparecer en uno nuevo”, menciona Google. Las tres operaciones de 3ve son:
- Esquema de malware Boaxxe (3ve.1)
La primera de tres sub operaciones de 3ve fue impulsada por botnets operando en centros de datos a través de Europa y Estados Unidos. Esta operación utilizó la botnet Boaxxe, también conocida como Miuref y Methbot, para obtener las direcciones IP utilizadas para enviar el proxy de tráfico de los dispositivos infectados en los centros de datos y visitar páginas web falsas y reales.
Con el paso del tiempo, la operación trascendió las solicitudes falsas en equipos de escritorio, alcanzando también el tráfico en dispositivos móviles con Android.
- Esquema de malware Kovter (3ve.2)
Aquí se utilizaron dominios falsos para vender inventarios falsos a los anunciantes. Sin embargo, en lugar de usar proxies para ocultarse, los operadores de la campaña utilizaron un agente de navegación personalizado en más de 700 mil equipos infectados con Kovter.
Esta operación utilizó servidores de redirección, ordenando a las computadoras infectadas visitar páginas web falsificadas.
- IP de los centros de datos (3ve.3)
La tercera sub operación asociada a 3ve fue similar a 3ve.1. Los bots estaban establecidos en algunos centros de datos, pero para cubrir sus rastros, los operadores usaban las direcciones IP de otros centros de datos, a modo de proxy, en lugar de computadoras residenciales.
Fin de la operación 3ve
Después de que la actividad de 3ve creciera en 2017, Google, junto con otras firmas de forense digital que habían detectado la operación, comenzaron con el proceso de eliminación de la operación.
Gracias a este trabajo conjunto, el FBI consiguió apoderarse de 31 dominios y 89 servidores que formaban parte de la estructura de 3ve. Organizaciones privadas también ayudaron a incluir en la lista negra la infraestructura de 3ve involucrada en el esquema de fraude publicitario y el tráfico hacia los dominios malos.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad