Especialistas confiantes encontrado que nos últimos nove meses (Desde agosto 2019), criminosos desconhecidos hackearam mais de 60 servidores de anúncios para injetar seus anúncios maliciosos em uma ampla variedade de sites.
Como resultado, visitantes de tais recursos são redirecionados para sites com download de malware. Esta campanha se chama Tag Barnakle.
Os especialistas acreditam que os hackers atacam redes de publicidade usando versões mais antigas do servidor de publicidade de código aberto Reviver.
“Se o ataque tiver sucesso, os invasores adicionam seu código malicioso aos anúncios existentes. Quando esses anúncios infectados são baixados para vários sites, código malicioso intercepta e redireciona seus visitantes para recursos maliciosos, geralmente contendo malware, mascarado como atualizações do Adobe Flash Player”, – escrevem especialistas da Confiant.
Pesquisadores descobriram sobre 60 Reviva servidores comprometido por este grupo de hackers. É relatado que como resultado, o grupo conseguiu colocar anúncios maliciosos em milhares de sites, e esses anúncios também são transmitidos para outras empresas de publicidade devido à integração RTB entre os serviços.
Geral, a conversa é sobre 1.25 milhão de anúncios por dia para um servidor RTB comprometido.
Segundo analistas, Tag Barnakle é quase um caso único, já que os especialistas não observaram campanhas maliciosas desta magnitude relacionadas à publicidade desde 2016. Deixe-me lembrá-lo que naquela época os operadores Angler caçou hacks massivos de servidores de publicidade.
"Mas recentemente, hackers adotaram uma abordagem diferente: eles criam redes de empresas falsas que compram anúncios em sites legítimos, e modifique esses anúncios para baixar código malicioso. Por isso, hackers permanecem em uma espécie de “zona cinzenta”, já que eles ainda compram espaços de anúncios e não quebram diretamente”, – escrevem especialistas da Confiant.
Os pesquisadores da Confiant também observam que na última semana, eles apenas se empenharam em notificar empresas de publicidade sobre incidentes de hackers, mas a campanha dos hackers ainda está ativa e os ataques continuam. Infelizmente, nem todos os proprietários de servidores de publicidade estão prontos para ouvir especialistas em segurança da informação, então alguns dos compromissos descobertos ainda estão ativos.
Esta não é a primeira vez que digo que agora é quase o momento mais favorável para os invasores, empresas de hack surpreendem com escala e engenhosidade, por exemplo, Eu disse recentemente que hackers falsificam configurações de DNS para distribuir aplicativos falsos de coronavírus.
