Sikkerhedsforskere har afsløret en stor malvertiseringskampagne, der har overtaget hele annonceservere for at indsætte ondsindede annoncer i deres annoncebeholdninger.
Disse ondsindede annoncer omdirigerer intetanende brugere til websteder, der køres med malware, der typisk maskeres som Adobe Flash Player-opdateringer. Kampagnen, der har været i mindst ni måneder, blev opdaget af forskere på Confiant.
Confiant siger, at kampagnen fortsætter, og at det udføres af angribere, der bruger massekompromis med Revive Ad Server-forekomster. I det mindste 60 servere er blevet påvirket. Efter det indledende kompromis, angriberen tilføjer deres ondsindede nyttelast til eksisterende annoncepladser, hvilket resulterer i fri adgang til udgivers beholdning. Forskerne har døbt trusselsskuespillerne Tag Barnakle.
Tilsyneladende, Tag Barnakle-hackere har formået at indlæse deres ondsindede annoncer på tusinder af sider. Endvidere, de ondsindede annoncer udsendes derefter til andre annoncefirmaer takket være en funktion kaldet RTB, eller realtid-budintegrationer.
“Hvis vi ser på mængderne bag kun en af de kompromitterede RTB-annonceservere – vi ser pigge på op til 1.25 [millioner] påvirkede annoncevisninger på én dag,” Tillidsfulde forskere sige.
Tag Barnakle Malvertising: En sjælden sag
Hacking af hele annonceservere er ikke blevet registreret i flere år. Den sidste sådan sag fandt sted i 2016. Nylige eksempler på malvertisering viser en anden type opførsel - hvor malvertisere opretter netværk af falske virksomheder, der køber annoncer på legitime websteder. Disse annoncer ændres senere for at indlæse ondsindet kode, en taktik set i de fleste malvertiseringskampagner for nylig.
Denne tilgang er mulig, fordi nogle annoncenetværk tillader malvertisere at købe annoncer på deres systemer. Årsagen er indlysende - fortjeneste for begge involverede parter. Hvad der afsætter Tag Barnakle fra andre malvertisere er omfanget af deres kampagner, da denne tilgang er mindre udbredt af flere årsager.
At gå på kompromis med en annonceserver bryder loven på alle niveauer, og de fleste malvertiserende grupper er omhyggelige og undgår denne opførsel. Denne tilgang kræver også et specifikt sæt viden og færdigheder, som ikke alle malvertiserende har.
Fortrolige forskere observerede en anden storskala malvertiseringskampagne i marts 2019, når ca. 1 millioner brugersessioner var potentielt udsat. Nyttelasten af den malvertiserende kampagne var Shlayer Trojan.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: