Onderzoekers op het gebied van cyberbeveiliging hebben licht geworpen op een voorheen ongedocumenteerd aspect dat verband houdt met aanvallen in ClickFix-stijl, waarbij gebruik wordt gemaakt van een enkele advertentienetwerkdienst als onderdeel van een op malvertising gebaseerde informatiediefstalcampagne genaamd BedrogAdvertenties.
“Deze campagne is voor de verspreiding volledig afhankelijk van één enkel advertentienetwerk en toont de kernmechanismen van malvertising: het levert meer dan 1 miljoen dagelijkse ‘advertentievertoningen’ op (in de afgelopen tien dagen) en zorgt ervoor dat duizenden dagelijkse slachtoffers hun accounts en geld verliezen door een netwerk van meer dan 3.000 inhoudssites die verkeer doorsluizen”, zegt Nati Tal, hoofd van Guardio Labs, in een rapport gedeeld met The Hacker News.
De campagnes, zoals gedocumenteerd door verschillende cyberbeveiligingsbedrijven in de afgelopen maanden, omvatten het doorverwijzen van bezoekers van illegale filmsites en anderen naar valse CAPTCHA-verificatiepagina’s die hen instrueren een Base64-gecodeerde PowerShell-opdracht te kopiëren en uit te voeren, wat uiteindelijk leidt tot de inzet van informatiestelers zoals Lumma.
De aanvallen beperken zich niet langer tot één enkele actor. Proofpoint heeft onlangs verklaard dat meerdere ‘niet-toegeschreven’ dreigingsclusters de slimme social engineering-aanpak hebben omarmd om trojans, stealers en zelfs post-exploitatieframeworks zoals Brute Ratel C4 op afstand te kunnen gebruiken.
![BedrogAdvertenties BedrogAdvertenties](https://www.techidee.nl/wp-content/uploads/2024/12/1734366402_242_DeceptionAds-levert-meer-dan-1-miljoen-dagelijkse-vertoningen-via-3000.png)
Guardio Labs zei dat het de oorsprong van de campagne kon traceren tot Monetag, een platform dat beweert verschillende advertentieformaten aan te bieden om “inkomsten te genereren met websites, sociaal verkeer en Telegram Mini Apps”, waarbij bedreigingsactoren ook gebruik maken van diensten als BeMob-advertentietracking om verhullen hun kwade bedoelingen. Monetag wordt ook gevolgd door Infoblox onder de namen Vane Viper en Omnatuor.
![BedrogAdvertenties BedrogAdvertenties](https://www.techidee.nl/wp-content/uploads/2024/12/1734366402_789_DeceptionAds-levert-meer-dan-1-miljoen-dagelijkse-vertoningen-via-3000.png)
De campagne komt feitelijk hierop neer: website-eigenaren (dat wil zeggen: bedreigingsactoren) registreren zich bij Monetag, waarna het verkeer wordt omgeleid naar een Traffic Distribution System (TDS) dat wordt beheerd door het malvertising-advertentienetwerk, waardoor bezoekers uiteindelijk naar de CAPTCHA-verificatiepagina worden geleid.
“Door een goedaardige BeMob-URL aan het advertentiebeheersysteem van Monetag toe te voegen in plaats van de directe nep-captcha-pagina, maakten de aanvallers misbruik van de reputatie van BeMob, wat de inspanningen voor het modereren van de inhoud van Monetag bemoeilijkte”, legt Tal uit. “Deze BeMob TDS verwijst uiteindelijk door naar de kwaadaardige CAPTCHA-pagina, gehost op services als Oracle Cloud, Scaleway, Bunny CDN, EXOScale en zelfs Cloudflare’s R2.”
Na verantwoorde openbaarmaking heeft Monetag meer dan 200 accounts verwijderd die gelinkt zijn aan de bedreigingsacteur. BeMob verwijderde in een soortgelijke poging de accounts die voor cloaking werden gebruikt. Dat gezegd hebbende, zijn er tekenen dat de campagne vanaf 5 december 2024 weer is hervat.
De bevindingen benadrukken nogmaals de noodzaak van inhoudsmoderatie en robuuste accountvalidatie om valse registraties te voorkomen.
“Van misleidende uitgeverssites die illegale of clickbait-inhoud aanbieden tot complexe omleidingsketens en cloaking-technieken, deze campagne onderstreept hoe advertentienetwerken, ontworpen voor legitieme doeleinden, kunnen worden bewapend voor kwaadaardige activiteiten”, aldus Tal.
“Het resultaat is een gefragmenteerde keten van verantwoordelijkheden, waarbij advertentienetwerken, uitgevers, diensten voor advertentiestatistieken en hostingproviders elk een rol spelen, maar vaak hun verantwoordelijkheid vermijden.”