Sicherheitsforscher haben eine große Malvertising-Kampagne aufgedeckt, bei der ganze Ad-Server übernommen wurden, um schädliche Anzeigen in ihre Anzeigeninventare einzufügen.
Diese böswilligen Anzeigen leiten ahnungslose Benutzer auf Websites weiter, auf denen Malware installiert ist, die normalerweise als Adobe Flash Player-Updates getarnt ist. Die seit mindestens neun Monaten laufende Kampagne wurde von Forschern von Confiant entdeckt.
Laut Confiant läuft die Kampagne noch, und dass es von Angreifern begangen wird, die einen Massenkompromiss für Revive Ad Server-Instanzen verwenden. Mindestens 60 Server sind betroffen. Nach dem ersten Kompromiss, Die Angreifer hängen ihre böswillige Nutzlast an vorhandene Anzeigenflächen an, was zu einem freien Zugriff auf das Publisher-Inventar führt. Die Forscher haben die Bedrohungsakteure Tag Barnakle genannt.
Offenbar, Tag Barnakle-Hacker haben es geschafft, ihre bösartigen Anzeigen auf Tausenden von Websites zu laden. Weiter, Die böswilligen Anzeigen werden dann dank einer Funktion namens RTB an andere Anzeigenunternehmen gesendet, oder Echtzeit-Gebotsintegrationen.
“Wenn wir uns die Volumes hinter nur einem der kompromittierten RTB-Ad-Server ansehen – wir sehen Spitzen von bis zu 1.25 [Million] betroffene Anzeigenimpressionen an einem einzigen Tag,” Zuversichtlich Forscher sagen.
Nehmen Sie Barnakle Malvertising: Ein seltener Fall
Das Hacken ganzer Ad-Server wurde seit mehreren Jahren nicht mehr registriert. Der letzte derartige Fall fand in statt 2016. Aktuelle Malvertising-Beispiele zeigen eine andere Art von Verhalten: Malvertisierer erstellen Netzwerke von Scheinunternehmen, die Anzeigen auf legitimen Websites kaufen. Diese Anzeigen werden später geändert, um schädlichen Code zu laden, Eine Taktik, die in den meisten Malvertising-Kampagnen in letzter Zeit beobachtet wurde.
Dieser Ansatz ist möglich, da in einigen Werbenetzwerken Werbetreibende Anzeigen auf ihren Systemen kaufen können. Der Grund liegt auf der Hand - Gewinn für beide Beteiligten. Was Tag Barnakle von anderen Werbetreibenden unterscheidet, ist der Umfang ihrer Kampagnen, da dieser Ansatz aus einer Reihe von Gründen weniger verbreitet ist.
Das Kompromittieren eines Ad-Servers verstößt auf allen Ebenen gegen das Gesetz, und die meisten Malvertising-Gruppen sind vorsichtig und vermeiden dieses Verhalten. Dieser Ansatz erfordert auch bestimmte Kenntnisse und Fähigkeiten, über die nicht alle Werbetreibenden verfügen.
Konfiant Forscher beobachteten im März eine weitere groß angelegte Werbekampagne 2019, wenn ungefähr 1 Millionen Benutzersitzungen wurden möglicherweise ausgesetzt. Die Nutzlast der Malvertising-Kampagne war der Shlayer-Trojaner.