За последний год хакеры взломали более 120 рекламных серверов в рамках продолжающейся кампании, которая показывает вредоносную рекламу на десятках или даже сотнях миллионов устройств. Это происходит при посещении этими устройствами различных безобидных на первый взгляд сайтов.

В рекламные объявления встраивается код JavaScript, который незаметно использует недостатки программного обеспечения или пытается обманом заставить посетителей установить вредоносные приложения, заплатить за фальшивую компьютерную поддержку и т.д. Обычно мошенники выдают себя за покупателей и платят рекламным сетям за показ вредоносной рекламы на отдельных сайтах.

Проникновение в рекламную экосистему под видом законного клиента требует ресурсов. Мошенники должны потратить время на изучение работы рынок, а затем на создание заслуживающей доверие организации. Также требуются деньги для покупки мест для показа вредоносной рекламы. Не таким методом пользуется группа под названием Tag Barnakle.

«Tag Barnakle сразу берётся за уязвимое место - массовую компрометацию рекламной инфраструктуры», пишет исследователь из компании Confiant Элия Штайн. «Наверняка они могут похвастаться рентабельностью инвестиций выше уровня конкурентов, поскольку им не нужно тратить ни копейки на проведение рекламных кампаний».

За последний год Tag Barnakle инфицировала более 120 серверов, на которых запущено Revive. Это приложение с открытым исходным кодом для организаций, которые хотят иметь собственный рекламный сервер, а не полагаться на сторонние службы. Количество серверов удвоилось с прошлого года.

После взлома рекламного сервера Tag Barnakle загружает на него вредоносные данные. Чтобы избежать обнаружения, группа использует цифровые отпечатки на стороне клиента. Это гарантирует, что только небольшое количество наиболее привлекательных целей получит вредоносную рекламу. Серверы, которые доставляют дополнительный код к этим целям, используют методы маскировки.

Когда в прошлом году Confiant сообщила о Tag Barnakle, было инфицировано около 60 серверов Revive. Это дало возможность разместить рекламу более чем на 360 сайтах. В рекламе продавались поддельные обновления Adobe Flash, которые при запуске устанавливали на компьютеры вредоносное ПО.

На этот раз Tag Barnakle нацелились ещё и на iPhone и Android. Сайты, которые показывают рекламу через взломанный сервер, передают сильно замаскированный код JavaScript. Он определяет, использует ли посетитель устройство iPhone или Android.

Если посетители проходят этот и другие тесты, они получают дополнительный код. В результате его анализа было установлено, что реклама выдаётся через overgalladean[.]com. Это домен, который используется рекламной сетью PropellerAds. Компании по информационной безопасности, включая Malwarebytes, давно пометили его как вредоносный.

Когда исследователи из Confiant воспроизвели трекер кликов Propeller Ads, они увидели такую рекламу:

Реклама в основном продвигает фальшивые приложения безопасности, VPN или обновления для них. При этом жертвы могут получить дорогостоящие подписки и повышенный расход трафика.

Поскольку рекламные серверы часто интегрируются с несколькими биржами рекламы, реклама может широко распространяться по сотням и даже тысячам сайтов. Точное количество получивших подобную рекламу пользователей установить невозможно. Специалисты считают, что их может быть десятки или сотни миллионов.