За большинство вредоносных рекламных объявлений ответственны группировки Scamclub, eGobbler, RunPMK и Zirconium.
Исследователи из компании Confiant опубликовали отчет «Demand Quality Report for Q3 2019», посвященный анализу вредоносной рекламы.
В период с 1 января по 20 сентября 2019 года специалисты проанализировали 120 млрд вредоносных рекламных объявлений, которые принудительно перенаправляли пользователя на вредоносные сайты или загружали вторичную полезную нагрузку. Большая часть рекламных баннеров была связана с мошенническими схемами, некоторые использовались для криптоджекинга или заражения устройства пользователя вредоносным ПО для последующего его включения в бот-сеть.
По словам исследователей, из 75 поставщиков рекламы источником более 60% вредоносных объявлений являлись три платформы (компания не раскрывает их названия). Большинство вредоносных рекламных кампаний осуществлялись в выходные дни, а самые крупные — на праздники, отметили эксперты.
В третьем квартале 2019 года за большинство вредоносных рекламных объявлений, распространяемых через рекламные сети, были ответственны группировки Scamclub, eGobbler, RunPMK и Zirconium.
В отличие от других злоумышленников, Scamclub не прилагает больших усилий для избежания обнаружения путем отслеживания цифровых отпечатков браузера или целевой аудитории. Вместо этого Scamclub проводит огромные кампании с десятками или сотнями объявлений полагаясь на то, что защита рекламных платформ не выдержит и пропустит некоторые из баннеров на легитимные сайты.
Группировка eGobbler использует уязвимости в браузерах для перенаправления пользователей на вредоносные сайты. В последней кампании eGobbler эксплуатировал уязвимость в браузерном движке Apple WebKit для распространения более 1 млрд вредоносных объявлений.
Группировка RunPMK перехватывает мобильный трафик с iOS- и Android-устройств для показа мошеннической рекламы, например, связанной с розыгрышем денежных призов и пр.
Zirconium использует уникальные методы отслеживания цифровых отпечатков браузера для показа пользователям определенных объявлений. В ходе атак злоумышленники используют методы обфускации и обычно распространяют мошенническую рекламу под видом оказания услуг техподдержки.