Кампания по вредоносной рекламе нацелена на миллионы пользователей

По данным исследователей безопасности, кампания вредоносной рекламы, получившая название Tag Barnakle, за последние двенадцать месяцев заразила более 120 рекламных серверов. Целью масштабной кампании было внедрение вредоносного кода в рекламные объявления, предназначенные для пользователей. Вредоносные фрагменты могут перенаправлять пользователей на вредоносные веб-сайты и подвергать их дальнейшим вредоносным нагрузкам и мошенничеству.

Кампания была тщательно изучена экспертами по безопасности, работающими с компанией по обеспечению безопасности рекламы Confiant. В своей статье о Tag Barnakle Confiant отмечает, что большинство злоумышленников используют другой подход к распространению вредоносной рекламы. Большинство злоумышленников пытаются проникнуть в систему и получить законно купленное пространство для размещения плохой рекламы.

В отличие от этого подхода Tag Barnakle даже не пытается вести себя хорошо и идет на то, что исследователи называют «массовым взломом» рекламных серверов и их инфраструктуры.

Вредоносная деятельность группы Tag Barnakle началась еще в 2020 году, когда было заражено около 60 рекламных серверов. Основной целью хакеров были серверы, на которых был запущен сервер объявлений с открытым исходным кодом Revive.

Отличие этого нового толчка от Tag Barnakle в том, что на этот раз злоумышленники, стоящие за ним, не просто нацелены на веб-рекламу, показываемую в браузерах компьютеров. Новая кампания также включает мобильную рекламу.

Рекламное объявление, исходящее от зараженного сервера, доставляет дополнительную полезную нагрузку после проверки отпечатков пальцев. При соблюдении определенных условий жертва перенаправляется на веб-сайт, на котором перечислены поддельные VPN и другие приложения, ориентированные на безопасность. Эти приложения либо имеют нераскрытые дополнительные расходы, о которых пользователь не осведомлен должным образом, либо обладают возможностями, которые могут напрямую перехватывать трафик для ряда других злонамеренных целей.

Confiant считает, что, поскольку Revive является относительно популярным решением для сервера объявлений, количество устройств, которые могли быть подвержены вредоносной рекламе, исчисляется десятками или даже сотнями миллионов - ошеломляюще большим числом.

Компания по безопасности доходит до того, что называет это «консервативной оценкой», поскольку Tag Barnakle сначала должен разместить файл cookie на устройстве жертвы, что потенциально замедляет обнаружение в процессе.