Консорциум "Цирконий" из 28 псевдо-рекламных агентств обнаружили и исследовали аналитики компании Confiant. Участники "Циркония" миллиард раз показали интернет-аудитории рекламные объявления, способные заразить компьютер: фальшивые предупреждения от "технической поддержки", предложения скачать антивирус и починить свой "зараженный" компьютер и другие форматы, известные как malvertising (malware+advertising).
Из выборки в 600 монетизируемых рекламой сайтов, зараженные вирусами и троянами объявления от "Циркония" показывали 62% в течение тестовой недели в декабре 2017 года. Операционные единицы консорциума были замаскированы под мелкие рекламные агентства — с корпоративными сайтами, с фотографиями "команды", купленными в фотобанках, со страницами в социальных сетях, заполненными автоматически генерируемым контентом. У каждого псевдоагентства была независимая инфраструктура, включавшая хостинговые и SSL-сервера, доменные имена, уникальные идентификаторы рекламных объявлений. Они закупали трафик у 16 крупных рекламных платформ.
Всего "Цирконий" успел вложить в рекламу $220 000. Неизвестно, сколько удалось заработать, но в Confiant считают, что примерно у 5% рекламных объявлений сработал триггер полезной нагрузки (то есть, на них кликнули). С учетом миллиарда показов это может означать примерно 2,5 миллиона пострадавших пользователей.
Malvertising сейчас считается одной из самых серьезных и быстро растущих угроз в Интернете. Занимающаяся кибербезопасностью компания RiskIQ подсчитала, что за 2016 год объем зловредной рекламы вырос на 132%.
Мальвертайзинговые рекламные объявления могут появляться на самых крупных и респектабельных сайтах, внизу, например, твит о подобной проблеме от New York Times. Так что блокировщик тут может быть единственной защитой.