マルバタイジングキャンペーンは数百万人のユーザーをターゲットにしています

セキュリティ研究者によると、「Tag Barnakle」と呼ばれるマルバタイジングキャンペーンは、過去12か月間に120を超える広告サーバーに感染しました。大規模なキャンペーンの目標は、ユーザーに配信される広告に悪意のあるコードを挿入することでした。悪意のあるスニペットは、ユーザーを悪意のあるWebサイトにリダイレクトし、さらに悪意のあるペイロードや詐欺にさらす可能性があります。

キャンペーンは、広告セキュリティ会社Confiantと協力しているセキュリティ専門家によって徹底的に調査されました。タグバーナクルに関する記事の中で、コンフィアントは、悪意のある広告を広めることに関して、マルバタイジングアクターの大多数が異なるアプローチを使用していることを指摘しています。ほとんどの悪意のある攻撃者は、システムに侵入し、合法的に購入したスペースを取得して、悪意のある広告を掲載しようとします。

このアプローチとの契約では、Tag Barnakleはうまくプレイしようとさえせず、研究者が広告サーバーとそのインフラストラクチャの「大規模な妥協」と呼ぶものを採用しています。

Tag Barnakleの背後にいるグループの悪意のある活動は、約60台の広告サーバーが感染した2020年に始まりました。ハッカーの主な標的は、Reviveと呼ばれるオープンソースの広告サーバーソリューションを実行しているサーバーでした。

Tag Barnakleからのこの新しいプッシュの違いは、今回はその背後にある悪意のある人物が、コンピューターのブラウザーに配信されるWeb広告をターゲットにしているだけではないということです。新しいキャンペーンにはモバイル広告も含まれています。

感染したサーバーから発信されたアドバタイズメントは、フィンガープリントチェックの後にセカンダリペイロードを配信します。特定の条件が満たされると、被害者は偽のVPNやその他のセキュリティに重点を置いたアプリケーションを一覧表示するWebサイトにリダイレクトされます。これらのアプリには、ユーザーが十分に認識していない追加コストが開示されていないか、他の多くの悪意のある目的のためにトラフィックを直接乗っ取ることができる機能があります。

Confiantは、Reviveは比較的人気のある広告サーバーソリューションであるため、悪意のある広告にさらされた可能性のあるデバイスの数は数千万、さらには数億に達すると考えています。これは驚くほど多数です。

タグバーナクルは最初に被害者のデバイスにCookieをドロップする必要があり、その過程で検出が遅くなる可能性があるため、セキュリティ会社はこれを「控えめな見積もり」とまで呼んでいます。