Investigadores de ciberseguridad han descubierto que los sitios de streaming pirata están empleando una técnica de inyección de publicidad maliciosa altamente sofisticada, la cual utiliza un algoritmo de generación de dominios (DGA) que rota cada tres horas para evadir los bloqueos. Tras un análisis exhaustivo del tráfico en aplicaciones móviles, el investigador logró vulnerar este complejo mecanismo de creación de dominios.
Estos scripts maliciosos suelen estar integrados en las páginas de los reproductores de streaming. El análisis reveló que los atacantes aprovechan dominios de nivel superior (TLD) económicos, como ".cfd", y emplean un algoritmo de doble capa para generar tanto subdominios como dominios principales. Esta estructura invalida los métodos tradicionales de filtrado basados en listas negras, ya que los dominios suelen desaparecer antes de que puedan ser detectados.
Descifrado del algoritmo y análisis de comportamiento
El investigador señaló que el malware no solo genera dominios de forma algorítmica, sino que también incorpora mecanismos complejos contra la depuración, como el uso de la biblioteca "disable-devtool" para impedir que los desarrolladores inspeccionen el código a través de las herramientas del navegador. No obstante, mediante la captura de tráfico a nivel de red, se logró extraer del script incrustado un archivo de configuración que contenía parámetros cifrados.
El algoritmo se basa en el tiempo UTC, utilizando ventanas de tres horas combinadas con parámetros semilla específicos y operaciones de hash criptográfico para generar automáticamente la siguiente dirección de acceso. Posteriormente, el investigador desarrolló un programa en Python para replicar el algoritmo y contrastarlo con los datos de tráfico observados. Los resultados confirmaron que el modelo predictivo coincide con precisión con todos los dominios maliciosos conocidos.
Además de la rotación de dominios, los atacantes utilizan el campo "campaign_id" en las rutas de las URL para rastrear el rendimiento del tráfico en diferentes canales de distribución. Este nivel de seguimiento revela que detrás de los sitios piratas existe una infraestructura de distribución publicitaria altamente organizada. Actualmente, el investigador domina el funcionamiento de este mecanismo, lo que le permite anticipar los movimientos de estos nodos maliciosos y ofrecer a los equipos de defensa nuevas estrategias para combatir estas amenazas encubiertas.