Campaña de malvertising utiliza servidores de Revive Adserver para su propagación

El grupo Tag Barnakle está utilizando servidores de Revive Adserver para inyectar y propagar campañas de anuncios maliciosos que redirigían a la descarga de malware.

Revive Adserver es un software de código abierto que permite la emisión de publicidad en páginas web, gestionar campañas de anuncios y la creación de informes sobre estos.

https://github.com/revive-adserver/revive-adserver/

Revive es un proyecto con más de una década de antigüedad y como puede verse en su repositorio, no ha estado exento de vulnerabilidades y fallos de seguridad. Lo que por otra parte es lo normal en proyectos de ese tamaño.

La inyección de publicidad en las páginas web se hace de forma similar a otros servicios como Google DFP, Zedo o AdRotate, esto es, incluyendo una «etiqueta» con el código del anuncio y la creatividad (imágenes y gráficos que utiliza). En el caso de Revive, esta etiqueta es bastante simple.

Investigadores de seguridad de la empresa Confiant han llevado a cabo una investigación sobre las actividades de Tag Barnakle, un atacante que ha conseguido comprometer algunos servidores de anuncios que utilizan este software para incluir código malicioso en los anuncios servidos por éstos y redirigir a las víctimas a la descarga de algún tipo de malware.

Los investigadores han revelado el flujo del JavaScript ofuscado que inyectaban los servidores comprometidos:

  1. Se comprueba la existencia de algún elemento en el DOM con el ID «judgericeblot». Si no lo encuentra, la ejecución salta a una función de nombre aleatorio.
  1. En segundo lugar se comprueba la presencia de cierta cookie. Si no existe, continúa la ejecución.
  2. Se comprueba si las herramientas de desarrollo de Chrome o Firebug están activados, si es así, continúa la ejecución con objeto de evitar ser detectado por algún analista.
  1. Si todos los pasos anteriores han pasado positivamente, Tag Barnakle procede a recopilar alguna información adicional sobre el cliente.
  1. Esta información se codifica en base64 y se le pasa al servidor de control a través de una dependencia maliciosa que utiliza un dominio intermedio: hxxps://publicenred.com/line.html?judgericeblot=SW50ZWwgSW5jLngyMEludGVsKFIpIElyaXMoVE0pIFBsdXMgR3JhcGhpY3MgNjU1
  1. Como medida de protección adicional, el atacante borra la cookie que contiene el payload tras un periodo de tiempo.

En este punto, el servidor construye una respuesta con la información recibida del cliente y devuelve a la víctima «scamware» o algún otro tipo de malware a través de PropellerAds, otro servicio de publicidad frecuentemente utilizado por este tipo de atacantes.

Algunos ejemplos de anuncios de la campaña de Tag Barnakle:

Se sabe con certeza que hasta 360 páginas presentaban actividad relacionada con Tag Barnakle. Sin embargo la brecha afecta a decenas de miles de sitios, teniendo en cuenta que algunos de los servidores de anuncios comprometidos servían una gran cantidad de anuncios, con picos de hasta 1.25 millones de impresiones en un solo día.

La investigación llevada a cabo por Confiant reveló hasta 29 dominios propiedad de Barnakle:

  • advertwork.com
  • kutsatsa.com
  • ads6net.com
  • netlineads.com
  • appsadvert.com
  • publicenred.com
  • publizitate.com
  • net4net.net
  • lunadvert.com
  • darrydat.com
  • faasalalauga.com
  • promoadsense.com
  • myadvertnet.com
  • liveadsnetwork.com
  • metaadsnet.com
  • ads6net.com
  • myadvertnet.com
  • advertwork.com
  • publicenred.com
  • lunadvert.com
  • kutsatsa.com
  • appsadvert.com
  • darrydat.com
  • metaadsnet.com
  • piclivenet.com
  • publizitate.com
  • faasalalauga.com
  • netlineads.com
  • promoadsense.com

Y más de 60 servidores de anuncios comprometidos:

  • 10.rallyad-server.net
  • adx.4strokemedia.com
  • ads.financialcontent.com
  • ads.mygc.com.au
  • ox.autolive.be
  • ad.mds.lv
  • ad.rosszlanyok.hu
  • admanager.adintend.com
  • admanager.uptodown.com
  • ads.catmedia.cat
  • ads.ck101.com
  • ads.dresden-airport.de
  • ads.ejz.de
  • ads.financialcontent.com
  • ads.latinongroup.com
  • ads.motorgraph.com
  • ads.newsbook.com.mt
  • ads.nitschkeverlag.de
  • ads.playzo.de
  • ads.pointermedia.hu
  • ads.shasha.ps
  • ads.ungdomar.se
  • ads.urgente24.com
  • ads1.knxs.net
  • ads2.artsopolis.com
  • ads2.opensubtitles.org
  • ads5.matichon.co.th
  • adserv.emh.ch
  • adserver.darnell.com
  • adserver.diariodeavisos.com
  • adserver.diariodosertao.com.br
  • adserver.lenouvelliste.com
  • adserver.nearby.cz
  • adserver.wolterskluwer.pl
  • adstdg.net
  • adv.dlh.net
  • adx.fotoaparat.cz
  • as2.adserverhd.com
  • asianmedia.com
  • gigazine.asia
  • itomedia.co.za
  • kingfish.fishing.net.nz
  • leadz01.isn.nl
  • miranda.bounced.de
  • nvpx.adhost.se
  • openx.mondiale.co.uk
  • openx.vps48615.mylogin.co
  • openx2.kytary.cz
  • pub.macommune.info
  • r.codio.xyz
  • rev.contractoruk.com
  • revive.hpl-adserver.com
  • revive.thebusinessjournal.com
  • theleader.info
  • treehouse.wwoz.org
  • webwiseforradio.com
  • wer.schwarzwaelder-bote.de
  • http://www.4x4brasil.com.br
  • http://www.bioverlag-online.de
  • http://www.boersen-zeitung.de
  • http://www.diariouno.pe
  • http://www.ecofinads.com
  • http://www.manga-news.com
  • http://www.miciudadreal.es
  • http://www.porovname.cz
  • www3.convergenciadigital.com.br

Aunque gestionar su propio servidor de anuncios puede proporcionar cierta versatilidad a editores y anunciantes, abre una puerta más a los atacantes para comprometer la seguridad de su empresa y sus clientes.

Más información:

Tag Barnakle: The Malvertiser That Hacks Revive Ad Servers, Redirects Victims To Malware

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.