I ricercatori della sicurezza hanno scoperto una vasta campagna di malvertising che ha assunto interi server di annunci per inserire annunci dannosi nei loro inventari di annunci.
Questi annunci dannosi reindirizzano gli utenti ignari a siti gestiti da malware in genere mascherati da aggiornamenti di Adobe Flash Player. La campagna che dura da almeno nove mesi è stata scoperta dai ricercatori di Confiant.
Confiant afferma che la campagna è in corso, e che viene perpetrato dagli aggressori che utilizzano un compromesso di massa delle istanze di Revive Ad Server. Almeno 60 i server sono stati interessati. Dopo il compromesso iniziale, gli aggressori stanno aggiungendo il loro payload dannoso alle aree annuncio esistenti con conseguente accesso gratuito all'inventario dei publisher. I ricercatori hanno soprannominato gli attori della minaccia Tag Barnakle.
Apparentemente, Gli hacker di Tag Barnakle sono riusciti a caricare le loro pubblicità dannose su migliaia di siti. Inoltre, gli annunci dannosi vengono quindi trasmessi ad altre società pubblicitarie grazie a una funzione chiamata RTB, o integrazioni di offerte in tempo reale.
“Se diamo un'occhiata ai volumi dietro solo uno degli ad server RTB compromessi – vediamo picchi fino a 1.25 [milione] impressioni dell'annuncio interessate in un solo giorno,” Ricercatori fiduciosi dire.
Prendi Barnakle Malvertising: Un caso raro
L'hacking di interi ad server non è stato registrato per diversi anni. L'ultimo caso del genere si è verificato in 2016. Recenti esempi di malvertising mostrano un altro tipo di comportamento: i malvertiser creano reti di aziende fasulle che acquistano annunci su siti legittimi. Questi annunci vengono successivamente modificati per caricare codice dannoso, una tattica vista recentemente nella maggior parte delle campagne di malvertising.
Questo approccio è possibile perché alcune reti pubblicitarie consentono ai malvertiser di acquistare annunci sui propri sistemi. Il motivo è ovvio: profitto per entrambe le parti coinvolte. Ciò che distingue Tag Barnakle dagli altri malvertiser è la scala delle loro campagne, poiché questo approccio è meno diffuso per una serie di motivi.
Compromettere un ad server infrange la legge ad ogni livello, e la maggior parte dei gruppi malvertising è attenta ed evita questo comportamento. Questo approccio richiede anche un insieme specifico di conoscenze e abilità che non tutti i malvertiser hanno.
Ricercatori confidenti hanno osservato un'altra campagna di malvertising su larga scala a marzo 2019, quando circa 1 milioni di sessioni utente erano potenzialmente esposti. Il payload della campagna di malvertising era lo Shlayer Trojan.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: