Peste un miliard de Ads exploatează vulnerabilitatea WebKit pentru a ajunge la utilizatorii Apple  

Peste un miliard de Ads exploatează vulnerabilitatea WebKit pentru a ajunge la utilizatorii Apple  

Binecunoscutul grup de hacking e Gobbler, cel care și-a făcut apariția în mediul online la începutul acestui an cu ajutorul unor campanii masive de publicitate cu conținut malițios, a fost identificat că desfășoară la momentul actual o campanie care exploatează două vulnerabilități ale browserului prin care se afișează anunțuri intruzive de tip pop-up. Ulterior, acestea redirecționează în mod voit și forțat utilizatorii către site-uri web dăunătoare.

De remarcat este faptul că hackerii nu au găsit momentan nicio modalitate de a difuza gratuit reclame – în schimb, modus operandi-ul folosit de atacatorii eGobbler implică bugete mari pentru afișarea a miliarde de anunțuri pe site-urile web cu profil înalt, prin intermediul rețelelor de anunțuri legitime.

În loc să se bazeze pe interacțiunea voită a vizitatorilor cu reclamele online, eGobbler folosește exploit-uri ale browserelor (Chrome și Safari) pentru a obține o rată maximă a click-urilor și astfel, reușește să deturneze cu succes cât mai multe sesiuni de utilizatori.

În cadrul campaniei sale anterioare de publicitate a conținutului malițios, grupul eGobbler a exploatat o vulnerabilitate zero-day cunoscută drept CVE-2019-5840 în Chrome pentru iOS în luna aprilie, ceea ce i-a permis să ocolească cu succes blocajul pop-up integrat al browserului pe dispozitivele iOS și să deturneze 500 de milioane de sesiuni de utilizatori mobili în doar o săptămână.

Deși Google a patch-uit deja vulnerabilitatea odată cu lansarea Chrome 75 în luna iunie a acestui an, eGobbler folosește în continuare defectul pentru a viza utilizatorii care încă nu și-au actualizat browserul Chrome.

eGobbler exploatează vulnerabilitatea WebKit prin care redirecționează utilizatorii către site-uri dăunătoare

Cu toate acestea, potrivit celui mai recent raport publicat de firma de securitate Confiant, membrii grupării eGobbler au descoperit recent și au început să exploateze o nouă vulnerabilitate în WebKit, motorul browserului folosit de Safari Apple atât pentru iOS, cât și pentru MacOS, Chrome pentru iOS și, de asemenea, de versiunile anterioare de Chrome pentru desktop.

Noul exploit WebKit este mult mai interesant, deoarece nu necesită ca și utilizatorii să dea click nicăieri pe știri, blog sau site-uri informative pe care le vizitează în mod normal și nici nu creează anunțuri de tip pop-up. În schimb, anunțurile afișate sponsorizate de eGobbler folosesc vulnerabilitatea WebKit pentru a redirecționa cu forță utilizatorii către site-uri web care găzduiesc scheme frauduloase sau malware, imediat ce apasă butonul key down sau page down pe tastaturile lor, în timp ce citesc conținutul de pe site.

Acest lucru se datorează faptului că vulnerabiliatea WebKit rezidă, de fapt, într-o funcție JavaScript, numită onkeydown event care are loc de fiecare dată când un utilizator apasă o tastă de pe tastatură, care permite anunțurilor afișare în cadrul iframes să se desprindă de protecțiile de tip sandbox.

De data aceasta, pop-up-ul iOS Chrome nu a avut loc ca și înainte, ci a dat utilizatorilor posibilitatea de a experimenta redirecționări pe browserele WebKit la onkeydown event. Cu toate că modalitatea de ghidare a magazinului de aplicații Apple a restricționat toate aplicațiile iOS cu capacitate de navigare web să folosească orice cadrul WebKit, inclusiv pentru Google Chrome varianta iOS, utilizatorii de telefonie mobilă sunt încă mai puțin susceptibili a fi afectați de defectele legate de redirecționare, deoarece onkeydown event nu fucționează pe sistemul de operare al telefonului.

Cu toate acestea, payload-ul eGobbler, livrat adesea prin intermediul serviciilor populare CDN, include, de asemenea, cod pentru a declanșa redirecționări atunci când vizitatorii unei aplicații web vizate încearcă să introducă ceva într-o zonă de text sau formulare de căutare, pentru a maximiza șansele de deturnare a acestor taste apăsate. După cum consideră cercetătorii în domeniul securității aplicațiilor, această exploatare a fost cheia în mărirea impactului acestui atac.

Între 1 august și 23 septembrie, a fost identificat faptul că actorii eGobblers au folosit codul rău intenționat pentru un volum uimitor de anunțuri, pe care cercetătorii estimează că ar fi ajuns la 1,16 milioane de impresii. În timp ce campania anteroară a vizat, în principal, utilizatorii iOS din Statele Unite, cel mai recent atac a vizat utilizatorii din țările Europei, majoritatea fiind din Italia.

Compania Confiant a raportat, în mod privat, vulnerabilitatea WebKit, atât echipelor de securitate de la Google, cât și de la Apple. Apple a remediat-o în WebKit odată cu lansarea iOS 13 pe 19 septembrie și în broswerul Safari 13.0.1 pe 24 septembrie, în timp ce Google nu a rezolvat încă la Chrome. O soluție din partea companiei este încă așteptată, în așa fel încât rezultatul să fie cel scontat – iar o posibilă viitoare campanie eGobblers să nu mai aibă un succes atât de răsunător ce aduce reale atingeri companiilor și utilizatorilor pe termen scurt, mediu și lung.

Suna acum!