Хакер #305. Многошаговые SQL-инъекции
Эксперты компании Confiant сообщают, что обнаруженная ими в прошлом году вредоносная кампания Tag Barnakle по-прежнему активна, и злоумышленники не сбавляют обороты.
Напомню, что с августа 2019 года некая хакерская группа взламывает рекламные серверы, чтобы внедрять свои вредоносные объявления на самые разные сайты. В итоге посетителей таких ресурсов перенаправляют на сайты с загрузкой малвари, мошеннические ресурсы и так далее. В прошлом году сообщалось, что специалисты обнаружили взлом 60 рекламных серверов.
В прошлогоднем отчете исследователи писали, что хакеры атакуют рекламные сети, использующие старые версии опенсорсного рекламного сервера Revive. Если атака удалась, они добавляют свой вредоносный код к существующей рекламе. Когда такие зараженные объявления загружаются на различные сайты, а вредоносный код перехватывает и перенаправляет их посетителей на вредоносные ресурсы.
Как это ни удивительно, за прошедшее время тактика хакеров практически не изменилась: они все еще атакуют незащищенные и уязвимые серверы Revive, используя для этого известные эксплоиты и старые уязвимости. Правда теперь злоумышленники скомпрометировали уже свыше 120 рекламных серверов, больше нацелены на пользователей мобильных устройств и перенаправляют их на сайты мошенников, торгующих сомнительными продуктами.
«Большинство таких кампаний заманивают жертв в магазины приложений, в раздел с подозрительными продуктами для безопасности, защиты, VPN, которые имеют скрытую стоимость подписки или используют трафик для вредоносных целей», — говорят специалисты.
По словам экспертов, владельцы скомпрометированных рекламных ресурсов также используют RTB для трансляции своей рекламы другим рекламным компаниям, что делает атаки Tag Barnakle еще более масштабными. По самым скромным оценкам, к текущему моменту пострадать от деятельности хакеров могли десятки или даже сотни миллионов пользователей.
Более того, исследователи говорят, что в прошлом году Confiant уведомила владельцев 60 взломанных серверов о проблемах, однако ответ ни от одной из компаний так и не был получен.