Консорциум «Цирконий» из 28 фальшивых рекламных агентств обнаружили и исследовали аналитики компании Confiant. Участники «Циркония» миллиард раз показали интернет-аудитории рекламные объявления, способные заразить компьютер: фальшивые предупреждения от «технической поддержки», предложения скачать антивирус и починить свой «зараженный» компьютер и другие форматы, известные как malvertising (malware+advertising).
Из выборки в 600 монетизируемых рекламой сайтов, зараженные вирусами и троянами объявления от «Циркония» показывали 62% в течение тестовой недели в декабре 2017 года. Операционные единицы консорциума были замаскированы под мелкие рекламные агентства — с корпоративными сайтами, с фотографиями «команды», купленными в фотобанках, со страницами в социальных сетях, заполненными автоматически генерируемым контентом. У каждого псевдоагентства была независимая инфраструктура, включавшая хостинговые и SSL-сервера, доменные имена, уникальные идентификаторы рекламных объявлений. Они закупали трафик у 16 крупных рекламных платформ.
Всего «Цирконий» успел вложить в рекламу $220 000. Неизвестно, сколько удалось заработать, но в Confiant считают, что примерно у 5% рекламных объявлений сработал триггер полезной нагрузки (то есть, на них кликнули). С учетом миллиарда показов это может означать примерно 2,5 миллиона пострадавших пользователей.
Malvertising сейчас считается одной из самых серьезных и быстро растущих угроз в Интернете. Занимающаяся кибербезопасностью компания RiskIQ подсчитала, что за 2016 год объем зловредной рекламы вырос на 132%.