120 kompromittierte Adserver zielen auf Millionen von Internetnutzern

Cyber Security News

Eine laufende Malvertising-Kampagne mit dem Namen “Tag Barnakle” hat im vergangenen Jahr mehr als 120 Anzeigenserver infiltriert, um heimlich Code einzuschleusen und so bösartige Werbung zu schalten, die Benutzer auf unseriöse Websites umleitet und die Opfer so Scamware oder Malware aussetzt.

Im Gegensatz zu anderen Betreibern, die ihre Aufgabe angehen, indem sie das Ad-Tech-Ökosystem infiltrieren, indem sie “überzeugende Personas” verwenden, um Platz auf legitimen Websites zu kaufen, auf denen die bösartigen Anzeigen geschaltet werden, ist Tag Barnakle “in der Lage, diese anfängliche Hürde vollständig zu umgehen, indem er direkt auf den Hals geht – die Massenkompromittierung der Ad-Serving-Infrastruktur”, so der Confiant-Sicherheitsforscher Eliya Stein in einem Bericht vom Montag.

[Blocked Image: https://thehackernews.com/images/-va9G8j8L8t0/YHc_zcfiuFI/AAAAAAAA3ws/2KY886mKSJkGD0dDrseOimw0dTJfitfmwCLcBGAsYHQ/s300-e100/thn-300-6.png]

Die Entwicklung folgt ein Jahr, nachdem im April 2020 festgestellt wurde, dass der Tag Barnakle-Akteur fast 60 Ad-Server kompromittiert hat, wobei die Infektionen hauptsächlich auf einen Open-Source-Werbeserver namens Revive abzielten.

Die jüngste Angriffswelle ist nicht anders, obwohl die Angreifer anscheinend ihre Tools verbessert haben, um auch mobile Geräte anzugreifen. “Tag Barnakle forciert jetzt gezielte mobile Kampagnen, während sie sich letztes Jahr mit Desktop-Traffic begnügt haben”, so Stein.

[Blocked Image: https://thehackernews.com/images/-iZs95_dY6Y4/YH6vTRFj6qI/AAAAAAAACTg/1RGE_FldvJQAJLE1u0vsM-fIfBWZbKQ2wCLcBGAsYHQ/s728-e1000/ad-malware.jpg]

Konkret führen die Websites, die eine Display über einen gehackten Server erhalten, clientseitiges Fingerprinting durch, um eine JavaScript-Nutzlast der zweiten Stufe – Click-Tracker-Anzeigen – auszuliefern, wenn bestimmte Prüfungen erfüllt sind, die dann Benutzer auf bösartige Websites umleiten, mit dem Ziel, die Besucher auf eine App-Store-Liste für gefälschte Sicherheits- oder VPN-Apps zu locken, die mit versteckten Abo-Kosten verbunden sind oder den Datenverkehr für andere schändliche Zwecke abfangen.

[Blocked Image: https://thehackernews.com/images/-2ibgW7bDKMc/YHc_0pMR5EI/AAAAAAAA3w8/EE6wVpkGbUY0VZP5aow4-q3xEzY1SGWFwCLcBGAsYHQ/s728-e100/thn-728-6.png]

Angesichts der Tatsache, dass Revive von einer ganzen Reihe von Werbeplattformen und Medienunternehmen genutzt wird, schätzt Confiant die Reichweite von Tag Barnakle auf “Dutzende, wenn nicht Hunderte von Millionen von Geräten”.

“Dies ist eine konservative Schätzung, die die Tatsache berücksichtigt, dass sie ihre Opfer mit Cookies ausstatten, um die Nutzlast mit geringer Frequenz zu enthüllen, was wahrscheinlich die Entdeckung ihrer Präsenz verlangsamt”, sagte Stein.

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com