Malvertising-campagne richt zich op miljoenen gebruikers
Volgens beveiligingsonderzoekers heeft een malvertisingcampagne met de naam "Tag Barnakle" in de afgelopen twaalf maanden meer dan 120 advertentieservers besmet. Het doel van de grootschalige campagne was om kwaadaardige code te injecteren in advertenties die aan gebruikers werden aangeboden. De kwaadaardige fragmenten kunnen gebruikers omleiden naar kwaadwillende websites en hen blootstellen aan verdere kwaadaardige ladingen en oplichting.
De campagne werd diepgaand onderzocht door beveiligingsexperts in samenwerking met advertentiebeveiligingsbedrijf Confiant. In zijn stuk over Tag Barnakle wijst Confiant erop dat de meeste kwaadwillende actoren een andere benadering hanteren als het gaat om het verspreiden van kwaadaardige advertenties. De meeste slechte actoren proberen zich een weg te banen in het systeem en legitiem gekochte ruimte te krijgen om slechte advertenties weer te geven.
In overeenstemming met deze benadering, probeert Tag Barnakle niet eens aardig te spelen en gaat hij voor wat onderzoekers "massale compromissen" van advertentieservers en hun infrastructuur noemen.
De kwaadaardige activiteiten van de groep achter Tag Barnakle begonnen in 2020, toen ongeveer 60 advertentieservers werden geïnfecteerd. Het primaire doelwit van de hackers waren servers met een open-source advertentieserveroplossing genaamd Revive.
Het verschil in deze nieuwe push van Tag Barnakle is dat deze keer de slechte actoren erachter niet alleen webadvertenties targeten die worden weergegeven in computerbrowsers. De nieuwe campagne bevat ook mobiele advertenties.
Een advertentie die afkomstig is van een geïnfecteerde server levert een secundaire payload na een vingerafdrukcontrole. Als aan bepaalde voorwaarden is voldaan, wordt het slachtoffer omgeleid naar een website met nep-VPN en andere op beveiliging gerichte applicaties. Die apps hebben ofwel niet-openbaar gemaakte extra kosten waarvan de gebruiker niet voldoende op de hoogte is, of hebben mogelijkheden die het verkeer rechtstreeks kunnen kapen voor een aantal andere kwaadwillende doeleinden.
Confiant is van mening dat, omdat Revive een relatief populaire advertentieserveroplossing is, het aantal apparaten dat mogelijk is blootgesteld aan de kwaadaardige advertenties in de tientallen of zelfs in de honderden miljoenen ligt - een verbluffend groot aantal.
Het beveiligingsbedrijf gaat zelfs zo ver om dit een "conservatieve schatting" te noemen, aangezien Tag Barnakle eerst een cookie op het apparaat van het slachtoffer moet plaatsen, waardoor de detectie mogelijk wordt vertraagd.