Los hackers han violado 60 servidores de anuncios para cargar sus propios anuncios maliciosos


Malvertising

Un misterioso grupo de hackers ha estado asumiendo el command de los servidores de anuncios durante los últimos nueve meses para insertar anuncios maliciosos en su inventario de anuncios, anuncios que redirigen a los usuarios a sitios de descarga de malware.

Esta inteligente campaña de piratería fue descubierta el mes pasado por la empresa de seguridad cibernética Confiant y parece haber estado funcionando durante al menos nueve meses, desde agosto de 2019.

Confiant dice que los hackers han apuntado a redes publicitarias que ejecutan versiones antiguas de Reanimar servidor de anuncios de código abierto. Los piratas informáticos violan los servidores Revive obsoletos y agregan silenciosamente código malicioso a los anuncios existentes.

Una vez que los anuncios contaminados se cargan en sitios legítimos, el código malicioso secuestra y redirige a los visitantes del sitio a sitios world-wide-web que ofrecen archivos con malware, generalmente disfrazados como actualizaciones de Adobe Flash Player.

malware-ads.png "src =" https://zdnet4.cbsistatic.com/hub/i/2020/04/21/a099d84d-08ec-4fcf-94fc-71c792105575/malicious-ads.png

Imagen: Confiante

Confiant dice que identificó alrededor de 60 servidores de anuncios Revive que han sido comprometidos por este grupo de piratas informáticos, que la compañía ha llamado Tag Barnakle.

La compañía dice que el grupo ha logrado cargar sus anuncios maliciosos en miles de sitios, y los anuncios maliciosos se transmiten a otras compañías publicitarias gracias a las integraciones RTB (ofertas en tiempo genuine) entre los servicios.

«Si observamos los volúmenes detrás de solo uno de los servidores de anuncios RTB comprometidos, vemos picos de hasta 1.25 (millones) impresiones de anuncios afectados en un solo día». dijo Eliya Stein, ingeniero de seguridad sénior en Confiant.

Tag Barnakle no es la norma para malvertisers

Stein dice que Tag Barnakle es una raza rara de malvertiser. No se ha visto a los grupos de publicidad maliciosa que piratean servidores de anuncios que operan a esta escala desde 2016.

Durante los últimos años, la mayoría de los grupos de publicidad maliciosa han operado con una estrategia diferente: crear redes de compañías falsas que compran anuncios en sitios legítimos, que luego modifican para cargar código malicioso.

Esta táctica ha prevalecido en los últimos años porque algunas redes publicitarias sombrías están dispuestas a hacer la vista gorda a los malversistas que compran anuncios en sus sistemas, ya que ambas partes están obteniendo ganancias. Sin embargo, el modus operandi de Tag Barnakle no es algo que las compañías publicitarias estén dispuestas a soportar.

«Hemos visto a otros malvertisers hacer esto, pero en typical está menos extendido por varias razones», dijo Stein ZDNet en un correo «En primer lugar, creo que entre los atacantes existe la sensación de que existe un área gris authorized cuando se trata de publicidad maliciosa, pero una vez que comprometes un servidor de anuncios no hay duda de que has violado la ley en gran medida».

«También es un enfoque completamente diferente», agregó Stein. «Me imagino que no todos los malvertisers tienen las habilidades y los medios para salir y piratear la infraestructura o las cuentas de servicio de anuncios. Pagar por una compra de medios (un espacio publicitario) es el camino de menor resistencia».

Los ataques siguen en curso

Stein le dice ZDNet Confiant ha pasado las últimas semanas notificando a las compañías de publicidad que han sido violadas. Sin embargo, no todas las compañías de publicidad aún tienen que actuar según las advertencias de Confiant sobre Tag Barnakle hasta el momento.

«La campaña en sí está en curso entre los servidores de anuncios que aún están comprometidos», dijo Stein ZDNet.

«Hemos notificado al propietario de cada servidor de anuncios sobre la violación, pero no todos nos han seguido. Algunos de los servidores de anuncios se vieron afectados brevemente, tal vez solo unos días antes de que el propietario del servidor de anuncios reparara la violación. Otros continúan estar vivo hasta el día de hoy «, agregó.

«Desde nuestro punto de vista, continuamos bloqueando los anuncios en nombre de nuestros clientes que se están publicando desde ubicaciones de anuncios previamente asociadas con el compromiso».

Stein también dijo que Confiant publicará más informes sobre malversadores pirateando servidores de anuncios y sus tácticas en el futuro.



Enlace a la noticia authentic