60 advertentieservers gehacked om vervolgens malware te serveren

Een onbekende groep hackers heeft de laatste 9 maanden verschillende advertentie-servers overgenomen volgens beveiligingsfirma Confiant. De hackers hebben de bonafide advertenties vervangen door malafide advertenties welke vervolgens malware verspreiden.

De doelwitten draaiden op oude versies van de open source server Revive. De advertenties leidde bezoekers van sites naar nepsites waar ze zich voordeden als flash player updates. Duizenden sites zijn geïnfecteerd waardoor mogelijk veel computers geïnfecteerd zijn. De verspreiding werd vergroot doordat advertentienetwerken gebruik maken van Real Time Bidding, waarbij advertenties tussen netwerken uitgewisseld worden. Confiant geeft aan dat ze 1,25 miljoen geïnfecteerde impressies per dag zien.

Confiant

Afbeelding: Confiant

Confiant heeft de laatste weken gebruikt om advertentienetwerken in te lichten over het probleem. Waar sommigen binnen enkele dagen een patch uitvoerden, zijn er ook die nog geen actie hebben ondernomen waardoor de aanval nog steeds doorgaat.

Flash is hier voor de eindgebruiker dus het zwakke punt. Dat je beter Flash uit kan schakelen ipv updaten is lang niet bij iedereen bekend. Zo werd ik zelf een paar weken geleden geconfronteerd met het feit dat zelfs scholen hun leerlingen nog verplichten om interactieve opdrachten te maken die in Flash gebouwd zijn. Flash bereikt eind dit jaar End-of-Life status.

Meer informatie is te vinden in de blog van Confiant