Hackers Violam 60 Servidores de Anúncios, Carregando-os com Anúncios Maliciosos
A Confiant, uma empresa de segurança de publicidade, publicou recentemente um relatório que detalha as explorações de um grupo de hackers que vem assumindo ativamente servidores de anúncios e inserindo anúncios maliciosos nos seus inventários de anúncios.
A campanha de hackers foi descoberta no mês passado, mas após algumas análises retrospectivas, os especialistas em segurança concluíram que ela está em andamento há pelo menos nove meses. A Confiant apelidou o grupo de hackers que eles encontraram pela primeira vez em agosto de 2019, debTag Barnacle.
O principal objetivo do grupo Tag Barnacle são as redes de publicidade que executam versões desatualizadas do servidor de anúncios de código aberto Revive. Depois que os invasores violaram o servidor, eles silenciosamente alteraram os anúncios existentes e os injetaram com códigos maliciosos que sequestraram sessões e redirecionaram os visitantes a sites que vendem malware que geralmente se disfarçam de atualizações legítimas do Adobe Flash Player.
[id da legenda = "attachment_499707" align = "aligncenter" width = "500"] 
Atualização falsa do Flash Player. Fonte: Confiante [/ legenda]
Os especialistas em segurança dizem que pelas amostras do malware, essas atualizações falsas são usadas para aumentar o alcançe do Shalyer Trojan nos sistemas macOS e o do InstallCore no Windows e são usadas para corromper ainda mais o computador infectado com todos os tipos de ladrões de informações, extensões de navegador indesejadas e ransomware.
Índice
O Alcance
A Confiant diz que o Tag Barnacle comprometeu cerca de 60 servidores de anúncios Revive, atividade maliciosa detectada em mais de 360 sites. O alcance da Tag Barnacle, no entanto, pode ser muito maior, já que o software Revive também é usado por provedores de veiculação de anúncios com menores lances em tempo real (RTB).
"Se dermos uma olhada nos volumes por trás de apenas um dos servidores de anúncios RTB comprometidos - veremos picos de até 1,25MM nas impressões de anúncios afetadas em um único dia", disse Eliya Stein, engenheiro de segurança sênior da Confiant.
Não é o Seu Malvertiser Diário
A invasão direta de servidores de anúncios nessa escala não é norma há um bom tempo, já que os anunciantes mal-intencionados geralmente optam por uma estratégia diferente. Nem todo malvertiser tem o conjunto de habilidades necessárias para invadir a infra-estrutura de veiculação de anúncios, mas hoje em dia todo mundo pode comprar espaço para anúncios em sites legítimos de maneira bastante barata.
A compra de espaço para anúncios funciona para ambas as redes de anúncios que desejam fechar os olhos para as campanhas de malvertising sendo executadas nos seus servidores e para os malvertisers que não desejam correr o risco de invadir uma rede de publicidade. O grupo Tag Barnacle, no entanto, é uma das exceções a essa tendência.
"Já vimos outros anunciantes fazendo isso, mas é menos difundido em geral por várias razões", elaborou Stein em um email enviado ao ZDNet. "Primeiro de tudo, acredito que há uma impressão entre os invasores de que existe uma área cinzenta legal quando se trata de publicidade maliciosa, mas depois que você compromete um servidor de anúncios, não há dúvida de que você violou a lei em grande escala".
A Campanha de Publicidade Maliciosa Continua em Andamento
Stein também afirmou que a Confiant notificou empresas de publicidade que foram violadas pelo grupo Tag Barnacle nas últimas semanas. Ainda assim, nem todos agiram sob o aviso dos especialistas em segurança.
Enquanto alguns servidores de anúncios foram impactados levemente, outros continuam executando as campanhas de publicidade mal intencionada da Tag Barnacle. Agora está nas mãos dos proprietários desses servidores de anúncios corrigir os seus sistemas.
Enquanto isso, os usuários finais podem proteger os seus sistemas contra anunciantes mal-intencionados, como o grupo Tag Barnacle, instalando um software anti-vírus legítimo.