Эксперты компании Confiant обнаружили, что уже девять месяцев кряду (с августа 2019 года) неизвестная хак-группа взламывает рекламные серверы, чтобы внедрять свои вредоносные объявления на самые разные сайты. В итоге посетителей таких ресурсов перенаправляют на сайты с загрузкой малвари. Данная кампания получила название Tag Barnakle.
Специалисты считают, что хакеры атакуют рекламные сети, использующие старые версии опенсорсного рекламного сервера Revive. Если атака удалась, злоумышленники добавляют свой вредоносный код к существующей рекламе. Когда такие зараженные объявления загружаются на различные сайты, вредоносный код перехватывает и перенаправляет их посетителей на вредоносные ресурсы, как правило, содержащие малварь, замаскированную под обновления Adobe Flash Player.
Исследователи обнаружили около 60 серверов Revive, скомпрометированных этой хак-группой. Сообщается, что в итоге группировке удалось разместить вредоносную рекламу на тысячах сайтов, причем эти объявления транслируются и другим рекламным компаниям из-за RTB-интеграции между сервисами. То есть речь идет примерно о 1,25 млн показов рекламных объявлений в день для одного скомпрометированного RTB-сервера.
По мнению аналитиков, Tag Barnakle – это практически уникальный случай, так как вредоносных кампаний такого масштаба, связанных с рекламой, эксперты не наблюдали с 2016 года. Напомню, что тогда массовыми взломами рекламных серверов промышляли операторы Angler. Но в последнее время хакеры используют другой подход: создают сети фальшивых компаний, которые покупают рекламу на легитимных сайтах, а затем эти объявления модифицируют для загрузки вредоносного кода. Таким образом хакеры остаются в своего рода "серой зоне", так как они все же покупают рекламные места и не ломают напрямую.
Исследователи Confiant пишут, что в последние недели только и занимаются тем, что уведомляют рекламные компании о взломах, а хакерская кампания по-прежнему активна, то есть атаки продолжаются. Также, к сожалению, не все владельцы рекламных серверов готовы прислушаться к ИБ-специалистам, поэтому некоторые обнаруженные компрометации до сих пор активны.