O grupo de hackers eGobbler infame que surgiram on-line no início deste ano com campanhas maciças malvertising já foi pego rodando uma nova campanha de exploração de duas vulnerabilidades do browser para mostrar anúncios pop-up intrusivos e com força redirecionar os usuários para sites maliciosos.
Para ser notado, os hackers não encontrei nenhuma maneira de executar anúncios para livre; em vez disso, o modus operandi dos atacantes eGobbler envolve orçamentos elevados para exibir bilhões de impressões de anúncios em sites de alto perfil por meio de redes de anúncios legítimos.
Mas, em vez de depender de visitantes interação intencional com anúncios on-line, eGobbler usa navegador (Chrome e Safari) exploits para alcançar taxa de cliques máximo e seqüestrar com sucesso, como muitos dos usuários sessões possível.
Em sua campanha malvertising anterior, grupo eGobbler estava explorando uma vulnerabilidade em seguida,-dia zero (CVE-2019-5840) no Chrome para iOS em abril, o que lhes permitiu ultrapassar com sucesso navegador do built-in bloqueador de pop-up em dispositivos iOS e seqüestrar 500 milhões de sessões de usuários móveis em apenas uma semana para mostrar anúncios pop-up.
amostra maliciosa anúncio pop-up mostrando como os atacantes vítimas engenheiro social
Embora o Google já corrigiu a vulnerabilidade com o lançamento do Chrome 75, em junho, eGobbler ainda está usando a falha para atingir aqueles que ainda não atualiza o seu navegador Chrome.
eGobbler Explora WebKit Flaw para redirecionar os usuários a sites maliciosos
No entanto, de acordo com o mais recente relatório publicado pela empresa de segurança Confiant, os atores ameaça eGobbler recentemente descoberto e começou a explorar uma nova vulnerabilidade no WebKit, o motor do navegador usado pelo navegador da Apple Safari para iOS e MacOS, o Chrome para iOS e também por versões anteriores do Chrome para desktop.
O novo WebKit exploração é mais interessante porque ele não exige que os usuários cliquem em qualquer lugar da notícia legítimo, blog ou sites informativos que visitam, nem ele gera qualquer anúncio pop-up.
Em vez disso, os anúncios de exibição patrocinados pela eGobbler alavancar o WebKit explorar para redirecionar força visitantes para sites de hospedagem esquemas fraudulentos ou malware logo que pressione a tecla “para baixo” ou “page down” botão em seus teclados ao ler o conteúdo no site.
Isso ocorre porque a vulnerabilidade Webkit realmente reside em uma função JavaScript, chamou o evento onkeydown que ocorre cada vez que um usuário pressiona uma tecla no teclado, que permite que os anúncios exibidos dentro de iframes para sair da proteção da sandbox de segurança.
“Desta vez, no entanto, o iOS Chrome pop-up não foi desova como antes, mas estávamos, de fato, experimentando redirecionamentos em navegadores WebKit sobre o evento ‘OnKeyDown'”, disseram os pesquisadores em seu mais recente relatório.
“A natureza do erro é que um de origem cruzada iframe aninhada é capaz de ‘autofocus’ que ignora a ‘permitir-top-navegação-by-user-activação’ directiva sandbox no quadro pai.”
“Com o quadro interno focado automaticamente, o evento keydown torna-se um evento de navegação ativada pelo usuário, o que torna o anúncio sandboxing totalmente inútil como uma medida de mitigação de redirecionamento forçado.”
Embora as diretrizes da loja de aplicativos da Apple restringir todas as iOS com capacidade de navegação na web para usar seu quadro WebKit, incluindo para o Google Chrome para iOS, os usuários móveis ainda são menos propensos a ser afetados pela falha de redirecionamento como o evento ‘OnKeyDown’ não funciona em o sistema operacional móvel.
No entanto, a carga eGobbler, muitas vezes entregues através de serviços de CDN populares, também inclui o código para acionar redirecionamentos quando os visitantes de uma aplicação web alvejado tentar introduzir algo em uma área de texto ou formulários de pesquisa, provavelmente “para maximizar as chances de sequestrar essas teclas pressionadas.”
Como pesquisadores acreditam que, “esta façanha foi fundamental na ampliação do impacto deste ataque.”
Entre 1 de Agosto e 23 de Setembro, os atores de ameaças foram vistos servindo seu código malicioso em um volume impressionante de anúncios, que os investigadores estimam ser até 1,16 bilhões de impressões.
Embora a campanha eGobbler malvertising anterior usuários iOS direcionados principalmente nos Estados Unidos, o mais recente ataque teve como alvo usuários em países da Europa, com a maioria sendo da Itália.
Confiant reportada em particular a vulnerabilidade WebKit para ambas as equipes de segurança do Google e da Apple. Apple corrigiu a falha no WebKit com o lançamento do iOS 13 a 19 de Setembro e no navegador Safari 13.0.1 em 24 de setembro, enquanto o Google ainda tem que enfrentá-lo no Chrome.
