Команда по распространению вредоносной рекламы, известная под кодовым названием Tag Barnakle, за последний год взломала более 120 рекламных серверов и вставила вредоносный код в легитимные объявления, которые перенаправляли посетителей веб-сайтов на сайты, рекламирующие мошенничество и вредоносное ПО.

Фирма по безопасности Confiant впервые сообщила об этой кампании в прошлом году, в  апреле 2020 года, когда заявила, что обнаружила 60 рекламных серверов, которые не были исправлены и скомпрометированы бандой Tag Barnakle. Год спустя Confiant заявил, что, несмотря на разоблачение тактики группы и подняв тревогу  в  индустрии онлайн-рекламы, группа Tag Barnakle продолжала работать без ограничений и удвоила количество взломанных серверов. В  сегодняшнем отчете Элия Стэйн, старший инженер по безопасности в Confiant, сказала что группа не изменила ничего в своих методах работы и по-прежнему нацелена на рекламные компании, которые оставили рекламные серверы Revive незащищенными и уязвимыми для атак. Стейн говорит, что Tag Barnakle использует известные эксплойты для уязвимостей в  программном обеспечении Revive,  чтобы взломать серверы, а затем подделать легитимную рекламу, управляемую конкретной рекламной компанией жертвы.

Вредоносный код группы в основном состоит из кода отпечатка браузера, который активирует перенаправление на заранее определенный веб-сайт при соблюдении определенных параметров пользователя, например пользователей, использующих определенное устройство или браузер.

Стейн говорит, что, хотя в прошлом году Tag Barnakle нацелился на пользователей настольных браузеров с помощью перенаправления на сайты загрузки вредоносных программ, за последний год банда перешла на поиск мобильных пользователей и перенаправление их на онлайн-мошенников, торгующих различными мошенническими продуктами.

Но в то время как эксперты по безопасности будут утверждать, что 120 взломанных рекламных серверов могут быть небольшим числом, Стейн говорит, что владельцы этих скомпрометированных рекламных ресурсов также используют системы ставок в реальном времени (RTB) для трансляции своей рекламы другим рекламным компаниям, которые расширила сферу действия Tag Barnakle за пределы взломанных серверов. Эксперт по безопасности Confiant говорит, что было почти невозможно точно определить количество пользователей, которые видели вредоносную рекламу Tag Barnakle. В интервью в прошлом году Стейн также сказал, что Confiant уведомил владельцев 60 серверов Revive, которые, как они изначально сочли, были взломаны, но не получил ответа ни от одной из компаний.

Поскольку количество взломанных серверов удвоилось за год, очевидно, что рекламные компании недостаточно серьезно относятся к безопасности своих рекламных инструментов, подвергая своих клиентов (владельцев веб-сайтов) и их базы огромным рискам.