L'ultima campagna di malvertising, denominata "DeceptionAds", ha messo in luce una vulnerabilità significativa nel panorama della sicurezza informatica. Questa campagna sfrutta un singolo servizio di rete pubblicitaria per propagare attacchi basati su malvertising, generando oltre un milione di impressioni pubblicitarie al giorno. In questo contesto, oltre 3.000 siti di contenuti sono stati utilizzati per convogliare il traffico verso pagine CAPTCHA fasulle, ingannando gli utenti e portandoli a perdere dati sensibili e denaro.

Le indagini di Guardio Labs

Le indagini condotte da Guardio Labs hanno rivelato che la campagna si basa sulla piattaforma Monetag, nota per offrire vari formati pubblicitari per "monetizzare siti web, traffico sociale e applicazioni mini di Telegram". Gli attori della minaccia hanno sfruttato anche servizi come BeMob per nascondere le loro intenzioni maligne. Questo stratagemma ha complicato gli sforzi di moderazione dei contenuti di Monetag. La campagna sfrutta una rete di distribuzione del traffico (TDS) per reindirizzare gli utenti a pagine di verifica CAPTCHA, ospitate su servizi di cloud come Oracle Cloud e Cloudflare.

Attacchi documentati in precedenza

Non è la prima volta che attacchi di questo tipo vengono documentati. Recentemente, diverse aziende di sicurezza informatica hanno segnalato attacchi simili, dove i visitatori di siti di film piratati sono stati indirizzati a pagine di verifica fasulle, che li hanno indotti a eseguire comandi dannosi. Proofpoint ha osservato che più gruppi di minacce stanno adottando questi metodi di ingegneria sociale per distribuire trojan di accesso remoto e framework di post-sfruttamento.

Risposta alla scoperta

In risposta alla scoperta, Monetag ha eliminato oltre 200 account legati agli attori della minaccia, mentre BeMob ha rimosso gli account utilizzati per il cloaking. Tuttavia, ci sono segnali che la campagna sia ripresa all'inizio di dicembre 2024. Questi eventi sottolineano l'importanza di una moderazione dei contenuti più rigorosa e di una convalida robusta degli account per prevenire registrazioni false.

La campagna "DeceptionAds" dimostra come le reti pubblicitarie, progettate per scopi legittimi, possano essere trasformate in strumenti di attività dannose. Le catene di reindirizzamento complesse e le tecniche di cloaking utilizzate in questi attacchi evidenziano la necessità di una responsabilità condivisa tra reti pubblicitarie, editori, servizi di statistiche pubblicitarie e fornitori di hosting.