Advertisements

60 serveurs publicitaires piratés pour diffuser des contenus malveillants

Spread the love
60 serveurs publicitaires piratés pour diffuser des contenus malveillants

Un groupe de pirates informatiques a pris le contrôle des serveurs publicitaires au cours des neuf derniers mois afin d’insérer des publicités malveillantes dans l’inventaire publicitaire. Ces publicités redirigeaient les utilisateurs vers des sites de téléchargement de logiciels malveillants.

Cette campagne de piratage a été découverte le mois dernier par la firme de cybersécurité Confiant et semble avoir fonctionné pendant au moins neuf mois, depuis août 2019.

Confiant affirme que les attaquants ont ciblé les réseaux publicitaires utilisant d’anciennes versions du serveur publicitaire open-source Revive. Ils attaquaient les serveurs Revive fonctionnant sur une version obsolète afin d’ajouter silencieusement du code malveillant aux annonces existantes.

Une fois les publicités corrompues chargées sur des sites légitimes, le code malveillant détourne et redirige les visiteurs vers des sites Web proposant des fichiers contenant des logiciels malveillants – généralement déguisés en mises à jour d’Adobe Flash Player.

Confiant dit avoir identifié environ 60 serveurs publicitaires Revive qui ont été compromis par ce groupe d’attaquants, que la société a baptisé Tag Barnakle.

La société affirme que le groupe est parvenu à diffuser ses annonces malveillantes sur des milliers de sites, les annonces malveillantes étant diffusées à d’autres sociétés publicitaires grâce aux intégrations RTB (enchères en temps réel) entre les services.

“Si nous examinons les volumes derrière un seul des serveurs publicitaires RTB compromis – nous constatons des pics allant jusqu’à 1,25 [million] d’impressions publicitaires affectées en une seule journée”, a déclaré Eliya Stein, ingénieur sécurité senior chez Confiant.

publicité

Tag Barnakle n’est pas la norme pour le malvertising

Stein explique que Tag Barnakle est une campagne de « malvertising » singulière. Les groupes malveillants qui piratent les serveurs publicitaires ne fonctionnent plus à cette échelle depuis 2016.

Au cours des dernières années, la plupart des groupes de malvertising ont opéré selon une stratégie différente – en créant des réseaux de fausses sociétés qui achètent des publicités sur des sites légitimes, qu’ils modifient plus tard pour diffuser du code malveillant.

 

Cette tactique a été popularisée au cours des dernières années, car certains réseaux publicitaires louches sont prêts à fermer les yeux sur les opérations de malvertising qui achètent des publicités sur leurs systèmes, car les deux parties réalisent des bénéfices.

Cependant, le modus operandi de Tag Barnikle n’est pas quelque chose que les sociétés publicitaires seront disposées à mettre en place.

“Nous avons vu d’autres groupes de malvertising faire cela, mais c’est moins répandu en général pour plusieurs raisons”, a déclaré Stein à ZDNet dans un e-mail. “Tout d’abord, je pense que les attaquants ont le sentiment qu’il existe une zone grise légale en matière de publicité malveillante, mais une fois que vous compromettez un serveur de publicité, il ne fait aucun doute que vous avez enfreint la loi.”

“C’est également un objectif différent”, a ajouté Stein. “J’imagine que tous les groupes de malvertising n’ont pas les compétences et les moyens de sortir et de pirater l’infrastructure ou les comptes de diffuseurs. Payer pour acheter un média [un espace publicitaire] est l’approche la plus simple.”

Des attaques toujours en cours

Stein explique à ZDNet que Confiant a passé ces dernières semaines à informer les agences de publicité qui ont été attaquées. Cependant, toutes les agences de publicité n’ont pas encore donné suite aux avertissements de Confiant concernant Tag Barnakle.

“La campagne est toujours en cours parmi les serveurs publicitaires qui sont toujours compromis”, a déclaré Stein à ZDNet.

“Nous avons informé le propriétaire de chaque serveur publicitaire visé, mais tout le monde ne nous a pas recontactés. Certains des serveurs publicitaires ont été impactés brièvement, peut-être quelques jours seulement avant que le propriétaire du serveur publicitaire corrige la brèche. D’autres sont encore en ligne à ce jour”, a-t-il ajouté.

“De notre point de vue, nous continuons de bloquer toutes les publicité au nom de nos clients qui sont diffusées à partir d’emplacements d’annonces précédemment compromis.”

Stein a également déclaré que Confiant publiera plus de rapports sur les groupes de malvertising piratant les serveurs publicitaires et leurs tactiques à l’avenir.

Source : ZDNet.com

Advertisements

Leave a Reply