Pesquisadores de segurança descobriram uma grande campanha de malvertising que vem dominando servidores de anúncios inteiros para inserir anúncios maliciosos em seus inventários de anúncios.
Esses anúncios maliciosos redirecionam usuários desavisados para sites repletos de malware normalmente mascarados à medida que o Adobe Flash Player é atualizado. A campanha que está em andamento há pelo menos nove meses foi descoberta por pesquisadores da Confiant.
Confiant diz que a campanha está em andamento, e que ele é cometido por invasores usando comprometimento em massa de instâncias do Revive Ad Server. Finalmente 60 servidores foram afetados. Após o compromisso inicial, os invasores anexam sua carga maliciosa aos espaços de anúncio existentes, resultando em acesso gratuito ao inventário do editor. Os pesquisadores apelidaram os atores de ameaça Tag Barnakle.
Pelo visto, Os hackers Tag Barnakle conseguiram carregar seus anúncios maliciosos em milhares de sites. além disso, os anúncios maliciosos estão sendo transmitidos para outras empresas de publicidade, graças a um recurso chamado RTB, ou integrações de lances em tempo real.
“Se dermos uma olhada nos volumes por trás de apenas um dos servidores de anúncios RTB comprometidos – vemos picos de até 1.25 [milhão] impressões de anúncios afetadas em um único dia,” Pesquisadores confiantes dizer.
Tome Barnakle Malvertising: Um caso raro
Hackear servidores de anúncios inteiros não está registrado há vários anos. O último caso desse tipo ocorreu em 2016. Exemplos recentes de malvertising mostram outro tipo de comportamento - onde os malvertisers criam redes de empresas falsas que compram anúncios em sites legítimos. Esses anúncios são modificados posteriormente para carregar código malicioso, uma tática vista na maioria das campanhas de malvertising recentemente.
Essa abordagem é possível porque algumas redes de anúncios permitem que os malvertisers comprem anúncios em seus sistemas. A razão é óbvia - lucro para ambas as partes envolvidas. O que deixa de lado Tag Barnakle de outros anunciantes é a escala de suas campanhas, como essa abordagem é menos difundida por várias razões.
Comprometer um servidor de anúncios viola a lei em todos os níveis, e a maioria dos grupos de malvertising é cuidadosa e evita esse comportamento. Essa abordagem também exige um conjunto específico de conhecimentos e habilidades que nem todos os mal-anunciantes possuem.
Pesquisadores confiantes observaram outra campanha de malvertising em larga escala em março 2019, quando aproximadamente 1 milhões de sessões de usuário foram potencialmente expostos. A carga útil da campanha de malvertising foi o Trojan Shlayer.