Check Point ผู้ให้บริการโซลูชันความมั่นคงปลอดภัยรายใหญ่ได้ค้นพบแคมเปญการแพร่โฆษณาแฝงอันตรายหรือ Malvertising โดยคาดว่าเบื้องหลังคือกลุ่มปฏิบัติการที่ชื่อ Master134 ได้ทำการแพร่กระจายทราฟฟิคอันตรายผ่านเครือข่ายโฆษณา (ad network)
Check Point รายงานว่าขั้นตอนการปฏิบัติการคือกลุ่ม Master134 ได้เข้าแทรกแซงเว็บไซต์ที่ใช้ WordPress กว่า 10,000 แห่ง โดยคาดว่าได้ใช้ช่องโหว่เก่าในเวอร์ชัน 4.7.1 ที่ทำให้เกิด Remote Code Execution ที่ไม่ได้แพตช์ หลังจากนั้นแฮ็กเกอร์ได้เพิ่มโค้ดเพื่อ inject โฆษณาฝังลงไป ต่อมาก็จะทำการ Redirect ทราฟฟิคการใช้งานไปขายให้กับ AdsTerra หรือ real-time bidding platform นอกจากนี้นักวิจัยยังได้พบการใช้งาน PUPs (potentially unwated program) ในกระบวนการ Redirect ของกลุ่มแฮ็กเกอร์นี้อีกด้วย
ต่อมา Master134 จะใช้ AdsTerra เพื่อโฆษณาในฐานะของ Publisher (ซึ่งปกติแล้วคือเจ้าของเว็บที่มีพื้นที่ให้ใช้โฆษณา) โดย Check Point เผยว่าได้พบการซื้อจากผู้ขายต่ออย่างน้อย 1 รายจากตัวแทนจำหน่าย เช่น AdKernel, AdventureFeeds, EvoLeads และ ExoClick จากนั้นนักวิจัยก็ได้สังเกตเห็นเหตุการณ์ผิดปกติต่อ โดยคาดว่ามีการสมคบคิดระหว่างกลุ่มก่อการร้ายทางไซต์เบอร์รายอื่นเพราะได้มีการซื้อทราฟฟิคจาก Master134 ผ่านทางแพลตฟอร์มของตัวแทนจำหน่ายของระบบ AdsTerra นักวิจัยกล่าวว่า “จากหลักฐานที่พบเราคาดว่าผู้ไม่หวังดีได้มีการจ่ายเงินให้กับ Master134 โดยตรง จากนั้น Master134 จะจ่ายต่อให้กลับบริษัทเครือข่ายโฆษณาเพื่อเปลี่ยนเส้นทางและปลอมแปลงต้นทางของข้อมูล” สุดท้าย Check Point กล่าวว่ายังคงพบเหยื่อของแคมเปญนี้ประมาณ 4 หมื่นครั้งต่อสัปดาห์
ที่มา : https://www.bleepingcomputer.com/news/security/massive-malvertising-campaign-discovered-attempting-40-000-infections-per-week/ และ https://www.infosecurity-magazine.com/news/malvertising-campaign-delivers/