Badacze zajmujący się cyberbezpieczeństwem rzucili światło na nieudokumentowany dotąd aspekt ataków opartych na metodzie ClickFix, które wykorzystują pojedyncze sieci reklamowe jako element kampanii malvertisingowej o nazwie DeceptionAds. Przy użyciu tej techniki cyberprzestępcy wprowadzają użytkowników w błąd, by uzyskać dostęp do ich danych, kont oraz środków finansowych.
Według Natiego Tala, szefa Guardio Labs, kampania ta, w pełni oparta na jednej sieci reklamowej w celu rozprzestrzeniania, ilustruje rdzeń mechanizmu malvertisingu. Codziennie dostarcza ponad milion fałszywych „wyświetleń reklam” i prowadzi do strat w postaci danych i pieniędzy tysięcy ofiar na całym świecie. Kampania wykorzystuje do tego sieć ponad 3000 witryn prowadzących ruch na strony zawierające złośliwe treści.
W przebiegu tych ataków użytkownicy odwiedzający pirackie strony z filmami lub inne podejrzane witryny są kierowani na fałszywe strony weryfikacyjne CAPTCHA. Na tych stronach wymaga się od ofiar uruchomienia zakodowanego polecenia PowerShell, co ostatecznie skutkuje pobraniem oprogramowania wykradającego dane, takiego jak Lumma. Trik ten jest wyjątkowo skuteczny, ponieważ wykorzystuje socjotechnikę i wizualne elementy pod względem projektowania niemal nieodróżnialne od legalnych CAPTCHA.
Firmy zajmujące się analizą cyberzagrożeń zauważyły, że tego typu ataki nie ograniczają się już do jednego gracza. W ostatnim czasie Proofpoint poinformował, że wiele niezidentyfikowanych grup zagrożeń zaczęło wdrażać podobne strategie. Oprócz informacji wykradzionych z urządzeń, kampanie te służą również do wprowadzania trojanów zdalnego dostępu (RAT) i narzędzi posteksploatacyjnych, takich jak Brute Ratel C4, co pozwala na dalsze przejęcie systemów zdalnie.
Ślady prowadzące do źródeł kampanii wskazują na platformę Monetag, która reklamuje się jako narzędzie umożliwiające „monetyzację stron internetowych, ruchu w mediach społecznościowych oraz aplikacji w Telegram.” Dochodzenie przeprowadzone przez Guardio Labs ujawniło, że chociaż Monetag oferuje legalne narzędzia reklamowe, została wykorzystana przez przestępców do maskowania swoich działań. Ponadto, do ukrywania złych intencji używa się takich usług, jak BeMob, które pozwalają na szczegółowe śledzenie ruchu reklamowego i ukrywanie prawdziwego celu kampanii. Infoblox zauważa, że Monetag bywa określana jako Vane Viper lub Omnatuor, co potwierdza jej powiązania z tego typu działaniami.
Mechanizm kampanii jest wysoce skomplikowany i opiera się na wielu połączonych elementach. Cyberprzestępcy najpierw rejestrują swoje strony w Monetag i przekierowują ruch do systemu Traffic Distribution System (TDS), który jest częścią skomplikowanej infrastruktury malvertisingowej. Następnie użytkownicy są kierowani na fałszywe strony CAPTCHA, hostowane na takich platformach jak Oracle Cloud, Scaleway czy Cloudflare. W celu zmylenia moderatorów Monetag oszuści używają adresów URL wyglądających na legalne, a następnie ukrywają ich prawdziwe przeznaczenie za pomocą technologii takich jak BeMob, co jeszcze bardziej utrudnia zablokowanie tych działań.
W odpowiedzi na problem Guardio Labs podjęło kroki mające na celu poinformowanie Monetag o nielegalnych działaniach prowadzonych za pośrednictwem ich sieci. Dzięki temu udało się wyeliminować ponad 200 kont powiązanych z grupami przestępczymi. BeMob również usunęło konta odpowiedzialne za maskowanie złośliwej zawartości. Niemniej, raporty donoszą, że kampanie wznowiono zaledwie miesiąc później, co pokazuje, jak trudne jest wyeliminowanie tych zagrożeń na stałe.
Przypadek DeceptionAds ponownie podkreśla, jak ważne jest skuteczne moderowanie treści oraz staranna weryfikacja kont rejestrujących się w tego typu usługach. Rozdrobnienie odpowiedzialności między różnymi podmiotami – sieciami reklamowymi, właścicielami witryn, usługami analizy ruchu czy dostawcami hostingu – sprawia, że zapobieganie tego typu atakom staje się wyjątkowo skomplikowane. Dopóki takie rozwiązania nie zostaną efektywnie wdrożone, infrastruktura reklamowa pozostanie podatna na nadużycia.
Ataki tego rodzaju ukazują, że sama technologia reklamowa, stworzona z założenia dla uczciwych celów, może zostać przekształcona w narzędzie cyberprzestępczości. Kluczowym krokiem w walce z takimi zagrożeniami jest zwiększenie odpowiedzialności po stronie tych, którzy zarządzają sieciami reklamowymi i platformami hostującymi – konieczne są nie tylko lepsze systemy weryfikacyjne, ale także proaktywna współpraca między różnymi podmiotami z branży.