Η ομάδα κακόβουλων διαφημίσεων Tag Barnakle χάκαρε τους Revive ad servers για να εισάγει και να προβάλει κακόβουλες διαφημίσεις σε απρόσεκτους επισκέπτες.
Οι περισσότεροι online publishers χρησιμοποιούν διαφημιστικές hosted πλατφόρμες όπως όπως το Google Ad Manager για την προβολή των διαφημίσεών τους, αλλά ορισμένοι εξακολουθούν να προτιμούν να χρησιμοποιούν self-hosted πλατφόρμες διαφημίσεων για μεγαλύτερο έλεγχο και ευελιξία στον τρόπο εμφάνισης των διαφημίσεών τους.
Μια self-hosted πλατφόρμα ανοιχτού κώδικα, που κυκλοφορεί εδώ και δέκα χρόνια, ονομάζεται Revive Adserver.
Σε μια νέα αναφορά από την εταιρεία ασφάλειας διαφημίσεων Confiant, μπορούμε να δούμε πώς ένας κακόβουλος διαφημιστής γνωστός ως Tag Barnakle κάνει compromise μαζικά τους Revive ad servers για να εισάγει τον δικό του κώδικα στις υπάρχουσες διαφημιστικές καμπάνιες ενός publisher.
“Τους τελευταίους μήνες, έχουμε δει ένα κύμα κακόβουλων διαφημίσεων που συνδέονται με το διαφημιστικό υλικό της Revive που εκτείνονται σε δεκάδες ad servers, συμπεριλαμβανομένων και εκείνων που ανήκουν και λειτουργούν από publishers και δίκτυα διαφημίσεων”, εξήγησε ο ερευνητής ασφάλειας της Confiant, Eliya Stein σε μια έκθεση.
Όταν θέτει σε κίνδυνο servers, η Tag Barnakle θα τροποποιήσει το υπάρχον διαφημιστικό υλικό που χρησιμοποιείται από τον publisher και θα προσθέσει τον δικό της κακόβουλο κώδικα JavaScript.
Αυτός ο κακόβουλος κώδικας θα εντοπίσει πότε το Firebug ή μια κονσόλα προγραμματιστή προγράμματος περιήγησης είναι ανοιχτή και, εάν όχι, θα πραγματοποιήσει ένα redirection σε κακόβουλα website που προωθούν πλαστές ενημερώσεις του Adobe Flash.
Ο Stein δήλωσε ότι αυτές οι ψεύτικες ενημερώσεις του Adobe Flash player εγκαθιστούν το Shalyer Trojan ή άλλα πακέτα botnet σε συστήματα macOS.
Για τους χρήστες Windows, το δείγμα που κοινοποιήθηκε στο BleepingComputer εγκαθιστά ένα πακέτο διαφημιστικών προγραμμάτων, όπως το InstallCore, το οποίο είναι γνωστό ότι μολύνει τα θύματα με ransomware, Trojan κλοπής πληροφοριών, ανεπιθύμητες επεκτάσεις προγράμματος περιήγησης και άλλα malware.
Οι ad servers που έχουν γίνει compromise έχουν μεγάλη εμβέλεια
Η Confiant έχει δει τη δραστηριότητα της Tag Barnakle σε περισσότερα από 360 website, αλλά η εμβέλειά τους είναι πολύ μεγαλύτερη λόγω του λογισμικού που χρησιμοποιείται από μικρότερους παρόχους προβολής διαφημίσεων που προσφέρουν προσφορές σε πραγματικό χρόνο.
Σε έναν παραβιασμένο πάροχο διαφημίσεων RTB, η Confiant “είδε” έως και 1,25 (εκατομμύριο) κακόβουλες εμφανίσεις διαφημίσεων να πραγματοποιούνται σε μία ημέρα.
Παρόλο που μπορεί να είναι δελεαστικό να χρησιμοποιήσετε τους δικούς σας διακομιστές διαφημίσεων, ανοίγει επίσης έναν εκδότη στον κίνδυνο πιθανών παραβιάσεων που επιτρέπουν στους εισβολείς να εισάγουν κακόβουλες διαφημίσεις.
Επομένως, χρησιμοποιήστε έναν ad server ανοιχτού κώδικα μόνο εάν έχετε το χρόνο και το εργατικό δυναμικό για να παραμείνετε ενημερωμένοι για τις ενημερώσεις ασφαλείας και να μπορείτε να τις εγκαταστήσετε γρήγορα μόλις κυκλοφορήσουν.
Εάν είστε μια μικρή εταιρεία με περιορισμένο προσωπικό, μπορεί να είναι πιο σοφό να ακολουθήσετε μια hosted λύση για να αποφύγετε αυτούς τους κινδύνους.
