La campagna di malware si rivolge a milioni di utenti
Secondo i ricercatori della sicurezza, una campagna di malvertising denominata "Tag Barnakle" ha infettato oltre 120 server pubblicitari negli ultimi dodici mesi. L'obiettivo della campagna su larga scala era quello di iniettare codice dannoso negli annunci forniti agli utenti. Gli snippet dannosi possono reindirizzare gli utenti a siti Web dannosi ed esporli a ulteriori payload dannosi e truffe.
La campagna è stata esaminata in modo approfondito da esperti di sicurezza che collaborano con la società di sicurezza pubblicitaria Confiant. Nel suo articolo su Tag Barnakle, Confiant sottolinea che la maggior parte degli attori di malvertising utilizza un approccio diverso quando si tratta di diffondere annunci dannosi. La maggior parte dei cattivi attori tenta di intrufolarsi nel sistema e ottenere spazio acquistato legittimamente per pubblicare cattive pubblicità.
Contrariamente a questo approccio, Tag Barnakle non tenta nemmeno di fare il simpatico e sceglie quello che i ricercatori chiamano "compromissione di massa" degli ad server e della loro infrastruttura.
Le attività dannose del gruppo dietro Tag Barnakle sono iniziate nel 2020, quando sono stati infettati circa 60 server pubblicitari. L'obiettivo principale degli hacker erano i server che eseguivano una soluzione di ad server open source chiamata Revive.
La differenza in questa nuova spinta di Tag Barnakle è che questa volta i cattivi attori dietro di esso non stanno solo prendendo di mira gli annunci web pubblicati sui browser dei computer. La nuova campagna include anche annunci per cellulari.
Un annuncio pubblicitario proveniente da un server infetto fornisce un payload secondario dopo un controllo delle impronte digitali. Se vengono soddisfatte determinate condizioni, la vittima viene reindirizzata a un sito Web che elenca VPN false e altre applicazioni incentrate sulla sicurezza. Quelle app hanno costi aggiuntivi non divulgati di cui l'utente non è adeguatamente informato o hanno funzionalità che possono dirottare direttamente il traffico per una serie di altri fini dannosi.
Confiant ritiene che, poiché Revive è una soluzione ad server relativamente popolare, il numero di dispositivi che potrebbero essere stati esposti ad annunci dannosi sia dell'ordine delle decine o addirittura di centinaia di milioni, un numero incredibilmente elevato.
La società di sicurezza arriva persino a chiamare questa una "stima prudente", poiché Tag Barnakle deve prima rilasciare un cookie sul dispositivo della vittima, rallentando potenzialmente il rilevamento nel processo.
