Kampania złośliwych reklam skierowana jest do milionów użytkowników

Według badaczy ds. Bezpieczeństwa, kampania złośliwa reklamowa nazwana „Tag Barnakle” zainfekowała ponad 120 serwerów reklamowych w ciągu ostatnich dwunastu miesięcy. Celem kampanii na dużą skalę było wstrzyknięcie złośliwego kodu do reklam wyświetlanych użytkownikom. Złośliwe fragmenty mogą przekierowywać użytkowników do złośliwych witryn i narażać ich na dalsze złośliwe ładunki i oszustwa.

Kampania została dogłębnie zbadana przez ekspertów ds. Bezpieczeństwa współpracujących z firmą Confiant zajmującą się bezpieczeństwem reklam. W swoim artykule na temat Tag Barnakle Confiant zwraca uwagę, że większość złośliwych reklamodawców stosuje inne podejście do rozpowszechniania złośliwych reklam. Większość złych aktorów próbuje dostać się do systemu i zdobyć legalnie zakupioną przestrzeń do wyświetlania złych reklam.

W przeciwieństwie do tego podejścia, Tag Barnakle nawet nie próbuje grać dobrze i idzie za tym, co badacze nazywają „masowym kompromisem” serwerów reklam i ich infrastruktury.

Szkodliwa działalność grupy stojącej za Tag Barnakle rozpoczęła się w 2020 roku, kiedy zainfekowano około 60 serwerów reklamowych. Głównym celem hakerów były serwery obsługujące rozwiązanie serwera reklam typu open source o nazwie Revive.

Różnica w tym nowym pushu ze strony Tag Barnakle polega na tym, że tym razem złoczyńcy za nim nie kierują się tylko na reklamy internetowe wyświetlane w przeglądarkach komputerowych. Nowa kampania obejmuje również reklamy mobilne.

Reklama pochodząca z zainfekowanego serwera dostarcza dodatkowy ładunek po sprawdzeniu odcisków palców. Jeśli spełnione są określone warunki, ofiara zostaje przekierowana na stronę internetową, która zawiera listę fałszywych VPN i innych aplikacji związanych z bezpieczeństwem. Te aplikacje albo mają nieujawnione dodatkowe koszty, o których użytkownik nie jest odpowiednio poinformowany, albo mają możliwości, które mogą bezpośrednio przejąć ruch w wielu innych złośliwych celach.

Confiant uważa, że ponieważ Revive jest stosunkowo popularnym rozwiązaniem serwera reklamowego, liczba urządzeń, które mogły zostać narażone na szkodliwe reklamy, wynosi dziesiątki, a nawet setki milionów - jest to oszałamiająco duża liczba.

Firma zajmująca się bezpieczeństwem posuwa się nawet do tego, że nazywa to „ostrożnym szacunkiem”, ponieważ Tag Barnakle najpierw musi umieścić plik cookie na urządzeniu ofiary, co może spowolnić proces wykrywania.