Campaña De Malvertising Utiliza Servidores De Revive Adserver Para Su Propagación

El grupo Tag Barnakle está utilizando servidores de Revive Adserver para inyectar y propagar campañas de anuncios maliciosos que redirigían a la descarga de malware.

Revive Adserver es un software de código abierto que permite la emisión de publicidad en páginas web, gestionar campañas de anuncios y la creación de informes sobre estos.

https://github.com/revive-adserver/revive-adserver/

Revive es un proyecto con más de una década de antigüedad y como puede verse en su repositorio, no ha estado exento de vulnerabilidades y fallos de seguridad. Lo que por otra parte es lo normal en proyectos de ese tamaño.

La inyección de publicidad en las páginas web se hace de forma similar a otros servicios como Google DFP, Zedo o AdRotate, esto es, incluyendo una «etiqueta» con el código del anuncio y la creatividad (imágenes y gráficos que utiliza). En el caso de Revive, esta etiqueta es bastante simple.

Investigadores de seguridad de la empresa Confiant han llevado a cabo una investigación sobre las actividades de Tag Barnakle, un atacante que ha conseguido comprometer algunos servidores de anuncios que utilizan este software para incluir código malicioso en los anuncios servidos por éstos y redirigir a las víctimas a la descarga de algún tipo de malware.

Los investigadores han revelado el flujo del JavaScript ofuscado que inyectaban los servidores comprometidos:

  1. Se comprueba la existencia de algún elemento en el DOM con el ID «judgericeblot». Si no lo encuentra, la ejecución salta a una función de nombre aleatorio.
  1. En segundo lugar se comprueba la presencia de cierta cookie. Si no existe, continúa la ejecución.
  2. Se comprueba si las herramientas de desarrollo de Chrome o Firebug están activados, si es así, continúa la ejecución con objeto de evitar ser detectado por algún analista.
  1. Si todos los pasos anteriores han pasado positivamente, Tag Barnakle procede a recopilar alguna información adicional sobre el cliente.
  1. Esta información se codifica en base64 y se le pasa al servidor de control a través de una dependencia maliciosa que utiliza un dominio intermedio: hxxps://publicenred.com/line.html?judgericeblot=SW50ZWwgSW5jLngyMEludGVsKFIpIElyaXMoVE0pIFBsdXMgR3JhcGhpY3MgNjU1
  1. Como medida de protección adicional, el atacante borra la cookie que contiene el payload tras un periodo de tiempo.