Sebuah operasi malvertising besar-besaran telah diungkapkan baru-baru ini dalam laporan yang diterbitkan oleh perusahaan cybersecurity Check Point.
Para peneliti percaya bahwa para operator dari operasi malvertising ini telah menggunakan jaringan iklan dan pengecer iklan untuk memastikan bahwa lalu lintas mereka yang telah dibajak mencapai aktor-aktor buruk yang disukai, yang kemudian mengalihkan para korban ke penipuan dukungan teknis atau mengeksploitasi peralatan yang menginfeksi dengan ransomware, trojan perbankan, atau yang lainnya.
Check Point menamai skema kompleks ini Master134Â setelah URL server pusat dan server penting dalam keseluruhan skema operasional operasi.
Jaringan Master134 mencuri lalu lintas dari situs WordPress yang diretas
Menurut laporan Check Point, semuanya dimulai dengan operator Master134 mengambil alih situs WordPress. Para peneliti mengatakan mereka menemukan lebih dari 10.000 situs WordPress yang dikompromikan.
Check Point mengklaim semua situs WordPress yang diretas ini menjalankan CMS WordPress versi 4.7.1, dikenal rentan terhadap bug RCE yang memungkinkan untuk mengambil alih situs.
Penyerang memasukkan kode di situs-situs ini untuk menginjeksikan iklan di situs-situs ini, yang kemudian membajak pengguna dan mengalihkan mereka ke layanan “redirection” utama Master134.
Selain itu, para peneliti mengatakan bahwa kelompok tersebut juga menggunakan PUP (program yang mungkin tidak diinginkan), seperti pembajak beranda peramban, untuk mengalihkan pengguna ke portal pengalihan Master134.
Bagaimana lalu lintas mengalir melalui jaringan iklan dan pengecer iklan
Peran layanan Master134 kemudian mengiklankan “slot iklan” di jaringan iklan AdsTerra, di bawah akun “penerbit”, yang tersedia untuk pemilik situs yang memiliki slot iklan tersedia di situs web mereka.
Check Point mengatakan bahwa slot iklan ini kemudian dibeli oleh salah satu dari empat pengecer iklan, seperti AdKernel, AdventureFeeds, EvoLeads, dan ExoClick.
Di bawah “kebetulan” yang luar biasa, berbagai aktor jahat akan membeli semua slot iklan Master134 yang tersedia melalui empat pengecer ini dan menangkap semua lalu lintas yang dibajak, yang kemudian disalurkan ke malware.
Check Point mengatakan itu mengamati hampir semua kelompok kriminal daring besar yang membeli lalu lintas dari Master134 melalui sistem “AdsTerra-reseller”. Kelompok-kelompok tersebut termasuk operator kit eksploit (RIG, Magnitude, GrandSoft, FakeFlash), sistem distribusi lalu lintas (Fobo, HookAds, Seamless, BowMan, TorchLie, BlackTDS, Slyip), dan banyak operator scam dukungan teknis lainnya.
Konspirasi yang dicurigai
Tetapi para peneliti Check Point tidak percaya bahwa semua pelaku yang membeli lalu lintas hasil bajak dari Master134 ini hanya kebetulan.
“Tampaknya […] bahwa entah bagaimana, kolaborasi ekstensif antara beberapa pihak jahat berhasil dikelola melalui jaringan iklan pihak ketiga, yang terbesar adalah AdsTerra,” kata perusahaan keamanan.
“Berdasarkan temuan kami, kami berspekulasi bahwa pelak membayar Master134 secara langsung. Master134 kemudian membayar perusahaan jaringan iklan untuk merutekan ulang dan bahkan mungkin menyamarkan asal-usul lalu lintas,” tambah mereka.
“Dalam skenario seperti itu, Master134 memainkan peran unik dalam dunia kejahatan dunia maya; ia menghasilkan laba dari pendapatan iklan dengan bekerja langsung dengan AdsTerra dan berhasil memastikan lalu lintas ini mencapai tangan yang salah.”
Check Point mengatakan operasi malvertising ini masih berlangsung dan mengatakan itu terlihat sekitar 40.000 upaya infeksi yang terjadi setiap minggu terhadap pengguna yang terjerat oleh Master134.
