EnglishPortugueseSpanish

Um grupo de cibercriminosos está invadindo servidores responsáveis pela distribuição de anúncios online (ad servers) para infectar usuários com malware. Segundo uma análise da empresa de segurança Confiant, o grupo “Tag Barnakle” já infectou mais de 120 servidores rodando a plataforma Open Source de anúncios Revive.

O objetivo é exibir anúncios maliciosos em sites que, de outra forma, parecem perfeitamente legítimos. No ano passado o grupo havia infectado 60 servidores Revive e conseguido exibir seus anúncios em 360 sites diferentes. Quando carregados, eles disparavam uma falsa notificação de atualização do Adobe Flash que, quando executada, instalava malware nos sistemas das vítimas.

publicidade

Neste ano o número de servidores dobrou e as vítimas são outras. Os anúncios usam código em Javascript para identificar se elas estão usando um iPhone ou smartphone Android.

Leiam mais:

Caso passem no teste, o código carrega um segundo anúncio que gera um falso alerta de que o smartphone está infectado por vírus ou foi invadido por hackers. O alerta tenta convencer a vítima a tomar “ação imediata”, dando-lhe um prazo de alguns minutos para instalar um falso app de segurança.

Falsos alertas de vírus ou invasão gerados pelo Tag Barnakle em um iPhone
Falsos alertas de vírus ou invasão gerados pelo Tag Barnakle em um iPhone. Imagem: Confiant

Os anúncios que geram o alerta são servidos pela Propeller Ads, rede que empresas de segurança, como a Malwarebytes, há muito identificaram como maliciosa. O falso app pode enganar o usuário cobrando uma assinatura anual que irá lhe custar centenas de dólares, ou então ser uma falsa rede VPN que pode espionar o tráfego de dados do aparelho para fins nefastos.

Com ad servers frequentemente integrados a vários “exchanges” (plataformas de compra e venda de publicidade), os anúncios têm o potencial de se espalhar amplamente por centenas, possivelmente milhares, de sites individuais. A Confiant não sabe quantos usuários finais estão expostos ao “malvertising” (nome dado à inclusão de malware em anúncios), mas a empresa acredita que o número é alto.

“Se considerarmos que algumas dessas empresas de mídia têm integrações com as principais plataformas de publicidade programática, o alcance do Tag Barnakle é facilmente na casa das dezenas, se não centenas de milhões de dispositivos”, escreveu Stein.

“Esta é uma estimativa conservadora que leva em consideração o fato de que eles usam cookies em suas vítimas para entregar seu malware com baixa frequência, provavelmente para retardar a detecção de sua presença”.

Fonte: Ars Technica