Malvertising-Kampagne richtet sich an Millionen von Nutzern

Laut Sicherheitsforschern hat eine Werbekampagne mit dem Namen "Tag Barnakle" in den letzten zwölf Monaten über 120 Werbeserver infiziert. Ziel der groß angelegten Kampagne war es, schädlichen Code in Anzeigen einzufügen, die den Nutzern zur Verfügung gestellt werden. Die böswilligen Snippets können Benutzer auf bösartige Websites umleiten und sie weiteren böswilligen Nutzdaten und Betrügereien aussetzen.

Die Kampagne wurde von Sicherheitsexperten, die mit dem Anzeigensicherheitsunternehmen Confiant zusammenarbeiten, eingehend untersucht. In seinem Artikel über Tag Barnakle weist Confiant darauf hin, dass die Mehrheit der Werbetreibenden bei der Verbreitung bösartiger Anzeigen einen anderen Ansatz verfolgt. Die meisten schlechten Schauspieler versuchen, sich in das System zu schlängeln und sich rechtmäßig gekauften Speicherplatz zu sichern, um schlechte Werbung zu schalten.

Im Auftrag dieses Ansatzes versucht Tag Barnakle nicht einmal, nett zu spielen, und setzt auf das, was Forscher als "Massenkompromiss" zwischen Ad-Servern und ihrer Infrastruktur bezeichnen.

Die böswilligen Aktivitäten der Gruppe hinter Tag Barnakle begannen im Jahr 2020, als rund 60 Werbeserver infiziert waren. Das Hauptziel der Hacker waren Server, auf denen eine Open-Source-Ad-Server-Lösung namens Revive ausgeführt wird.

Der Unterschied bei diesem neuen Push von Tag Barnakle besteht darin, dass diesmal die schlechten Schauspieler dahinter nicht nur auf Web-Anzeigen abzielen, die in Computerbrowsern geschaltet werden. Die neue Kampagne umfasst auch Handy-Anzeigen.

Eine Werbung, die von einem infizierten Server stammt, liefert nach einer Fingerabdruckprüfung eine sekundäre Nutzlast. Wenn bestimmte Bedingungen erfüllt sind, wird das Opfer auf eine Website weitergeleitet, auf der gefälschtes VPN und andere sicherheitsrelevante Anwendungen aufgelistet sind. Diese Apps haben entweder nicht bekannt gegebene zusätzliche Kosten, auf die der Benutzer nicht ausreichend aufmerksam gemacht wird, oder sie verfügen über Funktionen, mit denen der Datenverkehr für eine Reihe anderer böswilliger Zwecke direkt entführt werden kann.

Da Revive eine relativ beliebte Ad-Server-Lösung ist, liegt die Anzahl der Geräte, die möglicherweise böswilligen Anzeigen ausgesetzt waren, bei zehn oder sogar Hunderten von Millionen - eine erstaunlich große Zahl.

Die Sicherheitsfirma geht sogar so weit, dies als "konservative Schätzung" zu bezeichnen, da Tag Barnakle zuerst ein Cookie auf dem Gerät des Opfers ablegen muss, was möglicherweise die Erkennung verlangsamt.