Una campaña de publicidad maliciosa en curso está comprometiendo los servidores de publicidad Revive para entregar publicidad maliciosa a usuarios desprevenidos, según un informe reciente de la empresa de seguridad cibernética Confiant.
Revive Adserver es un sistema de servidor de anuncios gratuito y de código abierto, utilizado por propietarios de sitios web individuales, editores de múltiples sitios web, redes publicitarias, agencias de publicidad o anunciantes.
En los últimos meses, los investigadores de Confiant detectaron una ola de anuncios malignos que se adjuntan a las creatividades Revive que abarcan docenas de instancias de servidores de anuncios, incluidos los que pertenecen y son operados por editores y redes publicitarias.
En la campaña, un actor de amenazas denominado Tag Barnacle apunta a las instalaciones de Revive al inyectar una carga útil de JavaScript ofuscada que les da a los piratas informáticos la capacidad de secuestrar y mostrar sus propios anuncios. Esos anuncios son típicamente para sitios que ofrecen malware como actualizaciones fraudulentas de Adobe Flash.
Confiant dijo que identificó alrededor de 60 servidores de anuncios Revive comprometidos. La actividad del grupo Tag Barnacle se observó en más de 360 propiedades web, pero los investigadores estiman que el número de sitios web afectados podría ser mucho mayor dado que algunos de los servidores de anuncios pirateados tienen integraciones RTB profundas con múltiples intercambios de anuncios.
"Si echamos un vistazo a los volúmenes detrás de solo uno de los servidores de anuncios RTB comprometidos, vemos picos de hasta 1.25MM afectados impresiones de anuncios en un solo día", dijeron los investigadores.
“Inicialmente comenzamos a investigar la atribución de elementos de publicación de anuncios entre las cargas útiles de Tag Barnakle a principios de marzo de 2020. Se observaron picos notables en su actividad durante la temporada de publicidad navideña" pico "a fines de 2019.
Durante un análisis retrospectivo, hemos encontrado ejemplos del atacante en nuestra telemetría que data de agosto de 2019, que muestran al menos 8 meses de actividad de publicidad maliciosa constante que continúa hoy en día ”, agregó Confiant.
https://blog.confiant.com/tag-barnakle-the-malvertiser-that-hacks-revive-ad-servers-redirects-victims-to-malware-50cdc57435b1?gi=4a4115c397fb
