Cyberthreat.id – Penyusupan ke server iklan (adserver) sumber terbuka, Revive, kembali terjadi. Kali ini 120 server iklan diretas dan menyebarkan iklan berbahaya (malvertising) yang secara diam-diam.

Iklan tersebut mengarahkan pengguna yang mengklik ke situs web jahat yang mengandung malware atau scamware.

Peretasan ke server iklan Revive itu ditemukan oleh peneliti Confiant, Eliya Stein dan laporannya dipublikasikan di blog perusahaan pada Senin (19 April 2021).

Eliya tahun lalu menemukan 60 server iklan Revive dipakai untuk menyebarkan malvertising. Ternyata, setelah setahun berlalu, peretas masih melakukan hal yang sama. Namun, selain menargetkan pengguna desktop, peretas kali ini mengembangkan malvertising untuk pengguna seluler

Serangan distribusi iklan berbahaya tersebut dijuluki oleh Eliya sebagai “Tag Barnakle".

Skema serangan | Foto: Confiant

Peretas di balik Tag Barnkle tak seperti peretasan umumnya iklan. Jika umumnya penjahat siber membeli ruang di situs web yang sah, lalu menjalankan iklan berbahaya, Tag Barnkle langsung menyasar server iklan.

"Tag Barnakle sekarang mendorong kampanye bertarget seluler, sedangkan tahun lalu mereka dengan senang hati memanfaatkan lalu lintas desktop," kata Eliya seperti dikutip dar The Hacker News, diakses Kamis (22 April).

Malware iklan.

Secara khusus, situs web yang menerima iklan melalui server yang diretas melakukan sidik jari sisi klien untuk mengirimkan muatan JavaScript tahap kedua–click tracker ads–yang kemudian mengarahkan pengguna ke situs web jahat, yang bertujuan untuk memikat pengunjung ke daftar toko aplikasi, seperti aplikasi keamanan atau VPN palsu—padahal disertai dengan biaya langganan tersembunyi atau membajak lalu lintas untuk tujuan jahat lainnya.

Mengingat bahwa Revive digunakan oleh sejumlah platform iklan dan perusahaan media, Confiant memperkirakan jangkauan Tag Barnakle dalam kisaran "puluhan jika bukan ratusan juta perangkat".[]