Campanha de malvertising atinge milhões de usuários

Uma campanha de malvertising apelidada de "Tag Barnakle" infectou mais de 120 servidores de publicidade nos últimos 12 meses, de acordo com pesquisadores de segurança. O objetivo da campanha em grande escala era injetar código malicioso em anúncios veiculados aos usuários. Os snippets maliciosos podem redirecionar os usuários para sites maliciosos e expô-los a novas cargas maliciosas e golpes.

A campanha foi examinada em profundidade por especialistas em segurança que trabalham com a empresa de segurança de anúncios Confiant. Em seu artigo sobre Tag Barnakle, a Confiant aponta que a maioria dos agentes de malvertising usa uma abordagem diferente quando se trata de espalhar anúncios maliciosos. A maioria dos malfeitores tenta penetrar no sistema e obter um espaço comprado legitimamente para veicular anúncios ruins.

Em acordo com essa abordagem, Tag Barnakle nem mesmo tenta ser legal e vai para o que os pesquisadores chamam de "comprometimento em massa" de servidores de anúncios e sua infraestrutura.

As atividades maliciosas do grupo por trás do Tag Barnakle começaram em 2020, quando cerca de 60 servidores de publicidade foram infectados. O principal alvo dos hackers eram os servidores que executavam uma solução de servidor de anúncios de código aberto chamada Revive.

A diferença nesse novo impulso da Tag Barnakle é que, desta vez, os malfeitores por trás disso não estão apenas direcionando anúncios da web veiculados em navegadores de computador. A nova campanha também inclui anúncios para celular.

Um anúncio originado de um servidor infectado fornece uma carga secundária após uma verificação de impressão digital. Se certas condições forem atendidas, a vítima é redirecionada para um site que lista VPN falsa e outros aplicativos focados na segurança. Esses aplicativos têm custos adicionais não divulgados dos quais o usuário não está ciente de forma adequada ou têm recursos que podem sequestrar o tráfego diretamente para uma série de outros fins maliciosos.

A Confiant acredita que, como o Revive é uma solução de servidor de anúncios relativamente popular, o número de dispositivos que podem ter sido expostos aos anúncios maliciosos é da ordem de dezenas ou mesmo de centenas de milhões - um número assustadoramente grande.

A empresa de segurança chega a chamar isso de "estimativa conservadora", já que Tag Barnakle primeiro tem que colocar um cookie no dispositivo da vítima, potencialmente retardando a detecção no processo.