Beveiligingsonderzoekers hebben een grote malvertisingcampagne ontdekt die volledige advertentieservers heeft overgenomen om schadelijke advertenties in hun advertentievoorraden te plaatsen.
Deze kwaadaardige advertenties leiden nietsvermoedende gebruikers om naar sites met malware die meestal worden vermomd als Adobe Flash Player-updates. De campagne die minstens negen maanden loopt, is ontdekt door onderzoekers van Confiant.
Confiant zegt dat de campagne loopt, en dat het wordt uitgevoerd door aanvallers die een massaal compromis van Revive Ad Server-instanties gebruiken. Minstens 60 servers zijn getroffen. Na het eerste compromis, de aanvallers voegen hun kwaadaardige payload toe aan bestaande advertentieruimtes, wat resulteert in gratis toegang tot de voorraad van de uitgever. De onderzoekers noemen de bedreigingsactoren Tag Barnakle.
Blijkbaar, Hackers van Tag Barnakle zijn erin geslaagd hun schadelijke advertenties op duizenden sites te laden. Bovendien, de kwaadaardige advertenties worden vervolgens uitgezonden naar andere advertentiebedrijven dankzij een functie genaamd RTB, of realtime biedingsintegraties.
“Als we kijken naar de volumes achter slechts een van de gecompromitteerde RTB-advertentieservers – we zien pieken tot 1.25 [miljoen] beïnvloedde advertentievertoningen op één dag,” Zelfverzekerde onderzoekers zeg.
Neem Barnakle Malvertising: Een zeldzame zaak
Het hacken van volledige advertentieservers is al enkele jaren niet geregistreerd. De laatste dergelijke zaak vond plaats in 2016. Recente voorbeelden van malvertising laten een ander soort gedrag zien: malverteerders creëren netwerken van nepbedrijven die advertenties kopen op legitieme sites. Deze advertenties worden later aangepast om schadelijke code te laden, een tactiek die recentelijk in de meeste malvertisingcampagnes is gezien.
Deze aanpak is mogelijk omdat sommige advertentienetwerken malverteerders toestaan advertenties op hun systemen te kopen. De reden ligt voor de hand: winst voor beide betrokken partijen. Wat Tag Barnakle onderscheidt van andere malvertisers, is de omvang van hun campagnes, omdat deze aanpak om een aantal redenen minder wijdverbreid is.
Het compromitteren van een advertentieserver overtreedt de wet op elk niveau, en de meeste malvertisinggroepen zijn voorzichtig en vermijden dit gedrag. Deze aanpak vereist ook een specifieke set kennis en vaardigheden die niet alle malvertisers hebben.
Confiant onderzoekers zagen in maart weer een grootschalige malvertisingcampagne 2019, wanneer ongeveer 1 miljoen gebruikerssessies waren potentieel blootgesteld. Het laadvermogen van de malvertisingcampagne was de Shlayer Trojan.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: