Hace aproximadamente un año, la firma de investigación Confiant dio a conocer un grupo de actores de amenazas llamado Tag Barnakle, que atacaba instancias de Revive Adserver a una escala masiva. Ahora, sin embargo, Confiant ha descubierto que su publicación sobre las actividades de Tag Barnakle no ha socavado la confianza del grupo.
Con todo, la mayoría de los grupos de anuncios maliciosos funcionan principalmente dirigiéndose a grandes plataformas publicitarias, pretendiendo ser compradores de medios con conocimientos técnicos útiles. En resumen, su objetivo es persuadir a estas plataformas para que las incluyan en su infraestructura sin examinar con demasiada atención las entidades maliciosas encubiertas.
La etiqueta Barnakle, por otro lado, funciona comprometiendo directamente la infraestructura de publicación de anuncios de estas grandes plataformas. Por lo tanto, omitir el paso de inicio del archivo campaña de publicidad, por lo general logran ahorrar mucho dinero por adelantado, aumentando así el retorno de la inversión.
En este punto, la noticia del ataque se extendió a fuentes como BleepingComputer y ZDNet con respecto a 60 servidores de anuncios tomados por anuncios maliciosos. Recientemente, en los últimos 12 meses, Tag Barnakle ha cambiado a ataques móviles.
Según lo que Confiant puede recopilar, el proceso de ataque es el siguiente: Servidor de anuncios Revive pirateado> Carga útil maliciosa> Impresión digital del lado del cliente> Enmascaramiento del lado del servidor> Carga adicional> Anuncios de hélices
Esto significa que cuando la carga útil maliciosa pasa la huella digital del cliente al servidor del atacante, el atacante pasa un nuevo código JavaScript para ejecutar la carga útil. De momento, Tag Barnakle parece ser el objetivo dispositivos móviles con parámetros WebGL. Este nuevo código del lado del servidor solo pasa cuando los parámetros del cliente de destino coinciden.
Según la investigación de Confianta, estos anuncios malos de Propeller se parecen bastante al tipo general de anuncios maliciosos al que están acostumbrados muchos usuarios. Estos anuncios falsos generalmente contienen alertas sobre dispositivos presuntamente comprometidos para convencer al usuario de que instale malware etiquetado como antivirus o escáner. Además, muchos de estos anuncios pueden incluso atraer a los usuarios a las herramientas de la tienda de aplicaciones para aplicaciones de seguridad / protección / VPN que usan anuncios maliciosos o contienen costos de suscripción ocultos.
Hasta ahora, en términos de alcance, la etiqueta Barnakle parece ser la más popular para sitios grandes y editores de anuncios con tráfico moderado. Entre estas entidades, muchas parecen alojar su pila técnica en los servidores de Revive.
Al exponer ese tráfico sospechoso en cualquier tipo de análisis forense móvil, los investigadores descubrieron que las cargas útiles tienden a mostrar llamadas de Propeller Ads, lo que significa que los usuarios potenciales y las empresas afectadas pueden querer recordar esas llamadas cuando realicen sus propias investigaciones.
Stein, E. Tag Barnakle Un año después: más de 120 hacks de servidores de anuncios en vivo. Confiant, 19 de abril de 2021 blog.confiant.com/tag-barnakle… r-hacks-f3e5b3bc8e70
© 2021 Science X Network