Credit:Confiant via Unsplash.com大约一年前,安全研究公司confi ant披露了一个名为Tag Barnakle的威胁行为者组织,该组织大规模地针对resume Adserver实例。然而,现在康森特发现,他们对泰格·巴纳克尔活动的公开几乎没有削弱该组织的信心。概括地说,大多数广告集团主要通过假扮有技术专长的媒体买家,瞄准大型广告平台来运营。简而言之,他们的目标是说服这些平台将它们纳入其基础设施,而不必过于仔细地检查隐藏的恶意实体。
另一方面,Tag Barnakle通过直接损害这些大型平台的广告服务基础设施来发挥作用。这样,通过跳过运行广告活动的步骤,他们通常可以预先节省大量资金,从而提高投资回报率。
当时,关于60台广告服务器因恶意广告而受损的攻击消息通过诸如BleepingComputer和ZDNet等渠道传播。最近,在过去的12个月里,Tag Barnakle转向了移动攻击。
从Confiant收集到的信息来看,攻击过程如下:被黑客攻击恢复Adserver >恶意负载>客户端指纹>服务器端伪装>辅助负载>螺旋桨广告
这意味着,一旦恶意有效负载将客户端指纹传送回攻击者的服务器,攻击者就会为有效负载中继新的Javascript来执行。此时,Tag Barnakle似乎正在瞄准具有WebGL参数的移动设备。只有当目标客户端参数匹配时,这个新的服务器端代码才会通过。
Credit: Confiant根据Confiant的研究,这些邪恶的螺旋桨广告看起来与许多用户习惯的普通广告非常相似。这些虚假广告通常涉及对所谓受损设备的警告,以说服用户安装标有防病毒或扫描程序的恶意软件。此外,这些广告中的许多甚至可能会吸引用户使用安全/安保/虚拟专用网应用的应用商店工具,这些工具本身要么使用恶意广告,要么包含隐藏的订阅成本。
到目前为止,就影响力而言,Tag Barnakle似乎对长尾网站和适度流量的广告发布者最有吸引力。在这些实体中,许多似乎将其技术堆栈托管在Revive服务器上。
当在任何类型的移动取证中消除这种可疑流量的混淆时,研究人员已经确定,有效负载往往会显示对螺旋桨广告的调用,这意味着潜在的受影响用户和公司在进行自己的调查时可能希望记住这类调用。
来源:由phyica.com整理转载自PH,转载请保留出处和链接!
