L’acteur de la menace Tag Barnakle compromet plus de 120 serveurs publicitaires supplémentaires

L'acteur de la menace Tag Barnakle compromet plus de 120 serveurs publicitaires supplémentaires

Credit: Confiant via Unsplash.com

Il y a environ un an, la société de recherche sur la sécurité Confiant a révélé un groupe d’acteurs menaçants appelé Tag Barnakle qui ciblait les instances Revive Adserver à grande échelle. Maintenant, cependant, Confiant a découvert que leur publicité de l’activité de Tag Barnakle a à peine nui à la confiance du groupe.

Pour récapituler, la majorité des groupes de malvertising opèrent principalement en ciblant de grandes plateformes publicitaires en se faisant passer pour des acheteurs de médias avec une expertise technologique utile. En bref, ils visent à persuader ces plateformes de les intégrer dans leur infrastructure sans inspecter de trop près les entités malveillantes dissimulées.

D’autre part, Tag Barnakle fonctionne en compromettant directement les infrastructures de diffusion d’annonces de ces grandes plates-formes. De cette façon, en sautant l’étape de l’exécution d’une campagne publicitaire, ils peuvent généralement réussir à économiser beaucoup d’argent à l’avance, augmentant ainsi leur retour sur investissement.

À ce stade, la nouvelle de l’attaque s’est propagée à des sources telles que BleepingComputer et ZDNet concernant 60 serveurs publicitaires compromis via des publicités malveillantes. Plus récemment, au cours des 12 derniers mois, Tag Barnakle a migré vers les attaques mobiles.

À partir de ce que Confiant peut recueillir, le processus d’attaque se déroule comme suit: Hacked Revive Adserver> Charge utile malveillante> Empreinte digitale côté client> Cloaking côté serveur> Charge utile secondaire> Propeller Ads

Cela signifie qu’une fois que la charge utile malveillante communique l’empreinte digitale du client au serveur de l’attaquant, l’attaquant relaie le nouveau Javascript pour que la charge utile s’exécute. À l’heure actuelle, Tag Barnakle semble cibler les appareils mobiles avec des paramètres WebGL. Ce nouveau code côté serveur n’est transmis que si les paramètres du client de ciblage correspondent.

L'acteur de la menace Tag Barnakle compromet plus de 120 serveurs publicitaires supplémentaires

Credit: Confiant

Selon les recherches de Confiant, ces mauvaises publicités à hélice ressemblent assez au type générique de publicité malveillante auquel de nombreux utilisateurs sont habitués. Ces fausses publicités impliquent généralement des alertes sur des appareils prétendument compromis afin de persuader l’utilisateur d’installer un logiciel malveillant étiqueté comme un antivirus ou un scanner. De plus, bon nombre de ces publicités peuvent même attirer les utilisateurs vers les outils de l’App Store pour les applications de sécurité / sécurité / VPN qui utilisent elles-mêmes des publicités malveillantes ou incluent des frais d’abonnement cachés.

Jusqu’à présent, en termes de portée, Tag Barnakle semble avoir le plus d’attrait auprès des sites Web à longue traîne et des éditeurs d’annonces dont le trafic est modéré. Parmi ces entités, beaucoup semblent héberger leur pile technique sur des serveurs Revive.

Lors de la suppression de ce trafic suspect dans tout type de criminalistique mobile, les chercheurs ont déterminé que les charges utiles ont tendance à afficher des appels à Propeller Ads, ce qui signifie que les utilisateurs et les entreprises potentiellement concernés pourraient souhaiter garder ces types d’appels à l’esprit lorsqu’ils effectuent leurs propres enquêtes.


Le FBI lance un effort pour atténuer l’utilisation par les attaquants des vulnérabilités de Microsoft Exchange


Plus d’information:
Stein, E. Tag Barnakle un an plus tard: plus de 120 hack de revive Adserver. Confiant, 19 avril 2021. blog.confiant.com/tag-barnakle… r-hacks-f3e5b3bc8e70

© Réseau Science X 2021

Citation: L’acteur de la menace Tag Barnakle compromet plus de 120 serveurs publicitaires supplémentaires (2021, 21 avril) récupéré le 21 avril 2021 sur https://techxplore.com/news/2021-04-tag-barnakle-threat-actor-compromises.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.