Malvertising-kampanje retter seg mot millioner av brukere
En malvertising-kampanje kalt "Tag Barnakle" har infisert over 120 reklame-servere de siste tolv månedene, ifølge sikkerhetsforskere. Målet med den store kampanjen var å injisere skadelig kode i annonser som ble gitt til brukerne. De ondsinnede kodene kan omdirigere brukere til ondsinnede nettsteder og utsette dem for ytterligere ondsinnede nyttelaster og svindel.
Kampanjen ble undersøkt grundig av sikkerhetseksperter som jobber med annonsesikkerhetsselskapet Confiant. I sitt stykke om Tag Barnakle påpeker Confiant at flertallet av skadelige aktører bruker en annen tilnærming når det gjelder spredning av ondsinnede annonser. De fleste dårlige skuespillere prøver å snake seg inn i systemet og skaffe seg lovlig kjøpt plass for å kjøre dårlige annonser i.
I tråd med denne tilnærmingen prøver ikke Tag Barnakle å spille bra, og går for det forskerne kaller "massekompromiss" av annonse-servere og deres infrastruktur.
De ondsinnede aktivitetene til gruppen bak Tag Barnakle startet i 2020, da rundt 60 reklame-servere ble smittet. Det primære målet for hackerne var servere som kjørte en åpen kildekode-annonceserverløsning kalt Revive.
Forskjellen i denne nye pressen fra Tag Barnakle er at denne gangen er de dårlige skuespillerne bak det ikke bare målrettet mot nettannonser som vises i nettlesere. Den nye kampanjen inkluderer også mobilannonser.
En annonse som kommer fra en infisert server leverer en sekundær nyttelast etter en fingeravtrykkjekk. Hvis visse vilkår er oppfylt, blir offeret omdirigert til et nettsted som viser falske VPN og andre sikkerhetsfokuserte applikasjoner. Disse appene har enten ukjente tilleggskostnader brukeren ikke blir gjort oppmerksom på tilstrekkelig, eller har muligheter som direkte kan kapre trafikk for en rekke andre ondsinnede formål.
Confiant mener at fordi Revive er en relativt populær løsning for annonsetjenere, er antallet enheter som kan ha blitt utsatt for ondsinnede annonser i titallsvis eller til hundrevis av millioner - et svimlende stort antall.
Sikkerhetsselskapet går til og med så langt som å kalle dette et "konservativt estimat", ettersom Tag Barnakle først må slippe en informasjonskapsel på offerets enhet, noe som potensielt bremser oppdagelsen i prosessen.
