Une campagne de malvertising cible des millions d'utilisateurs
Une campagne de malvertising baptisée "Tag Barnakle" a infecté plus de 120 serveurs publicitaires au cours des douze derniers mois, selon des chercheurs en sécurité. L'objectif de la campagne à grande échelle était d'injecter du code malveillant dans les publicités diffusées aux utilisateurs. Les extraits malveillants peuvent rediriger les utilisateurs vers des sites Web malveillants et les exposer à d'autres charges utiles et escroqueries malveillantes.
La campagne a été examinée en profondeur par des experts en sécurité travaillant avec la société de sécurité publicitaire Confiant. Dans son article sur Tag Barnakle, Confiant souligne que la majorité des acteurs malveillants utilisent une approche différente lorsqu'il s'agit de diffuser des publicités malveillantes. La plupart des mauvais acteurs tentent de se frayer un chemin dans le système et d'obtenir un espace légitimement acheté pour diffuser de mauvaises publicités.
En accord avec cette approche, Tag Barnakle n'essaye même pas de jouer gentiment et opte pour ce que les chercheurs appellent le «compromis de masse» des serveurs publicitaires et de leur infrastructure.
Les activités malveillantes du groupe derrière Tag Barnakle ont commencé en 2020, lorsqu'environ 60 serveurs publicitaires ont été infectés. La cible principale des pirates était les serveurs exécutant une solution de serveur publicitaire open source appelée Revive.
La différence dans cette nouvelle poussée de Tag Barnakle est que cette fois-ci, les mauvais acteurs derrière ne ciblent pas uniquement les publicités Web diffusées sur les navigateurs d'ordinateurs. La nouvelle campagne comprend également des annonces pour mobile.
Une publicité provenant d'un serveur infecté fournit une charge utile secondaire après une vérification des empreintes digitales. Si certaines conditions sont remplies, la victime est redirigée vers un site Web qui répertorie les faux VPN et d'autres applications axées sur la sécurité. Ces applications ont soit des coûts supplémentaires non divulgués dont l'utilisateur n'est pas informé de manière adéquate, soit des capacités qui peuvent directement détourner le trafic pour un certain nombre d'autres fins malveillantes.
Confiant pense que, comme Revive est une solution de serveur publicitaire relativement populaire, le nombre d'appareils qui peuvent avoir été exposés aux publicités malveillantes se situe dans les dizaines, voire dans les centaines de millions - un nombre incroyablement élevé.
La société de sécurité va même jusqu'à appeler cela une «estimation prudente», car Tag Barnakle doit d'abord déposer un cookie sur l'appareil de la victime, ralentissant potentiellement la détection dans le processus.
