Эксперты компании Confiant обнаружили, что уже девять месяцев кряду (с августа 2019 года) неизвестная хак-группа взламывает рекламные серверы, чтобы внедрять свои вредоносные объявления на самые разные сайты. В итоге посетителей таких ресурсов перенаправляют на сайты с загрузкой малвари. Данная кампания получила название Tag Barnakle.

Специалисты считают, что хакеры атакуют рекламные сети, использующие старые версии опенсорсного рекламного сервера Revive. Если атака удалась, злоумышленники добавляют свой вредоносный код к существующей рекламе. Когда такие зараженные объявления загружаются на различные сайты, вредоносный код перехватывает и перенаправляет их посетителей на вредоносные ресурсы, как правило, содержащие малварь, замаскированную под обновления Adobe Flash Player.

Исследователи обнаружили около 60 серверов Revive, скомпрометированных этой хак-группой. Сообщается, что в итоге группировке удалось разместить вредоносную рекламу на тысячах сайтов, причем эти объявления транслируются и другим рекламным компаниям из-за RTB-интеграции между сервисами. То есть речь идет примерно о 1,25 млн показов рекламных объявлений в день для одного скомпрометированного RTB-сервера.

По мнению аналитиков, Tag Barnakle – это практически уникальный случай, так как вредоносных кампаний такого масштаба, связанных с рекламой, эксперты не наблюдали с 2016 года. Напомню, что тогда массовыми взломами рекламных серверов промышляли операторы Angler. Но в последнее время хакеры используют другой подход: создают сети фальшивых компаний, которые покупают рекламу на легитимных сайтах, а затем эти объявления модифицируют для загрузки вредоносного кода. Таким образом хакеры остаются в своего рода "серой зоне", так как они все же покупают рекламные места и не ломают напрямую.

Исследователи Confiant пишут, что в последние недели только и занимаются тем, что уведомляют рекламные компании о взломах, а хакерская кампания по-прежнему активна, то есть атаки продолжаются. Также, к сожалению, не все владельцы рекламных серверов готовы прислушаться к ИБ-специалистам, поэтому некоторые обнаруженные компрометации до сих пор активны.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии