Malvertiseri zneužívali WebKit 0- Deň na presmerovanie používateľov prehliadača na podvodné stránky

Skupina škodlivej inzercie známa ako „ScamClub“ využila nulovú zraniteľnosť v prehliadačoch založených na WebKit na vloženie škodlivého obsahu, ktorý presmeroval používateľov na podvodné webové stránky s darčekovými kartami.

Útoky, ktoré prvýkrát zaznamenala firma na zabezpečenie reklám Confiant koncom júna 2020, využili chybu (CVE-2021–1801), ktorá umožnila škodlivým stranám obísť politiku karantény iframe v module prehliadača, ktorý poháňa Safari a Google Chrome pre iOS, a spustiť škodlivý softvér. kód.

Technika konkrétne využívala spôsob, akým WebKit spracováva poslucháčov udalostí JavaScriptu, čím umožnila vymaniť sa z karantény súvisiacej s vloženým rámcom reklamy napriek prítomnosti atribútu „allow-top-navigation-by-user-activation“, ktorý výslovne zakazuje akékoľvek presmerovanie, pokiaľ udalosť kliknutia nenastane vo vnútri prvku iframe.

Na otestovanie tejto hypotézy sa výskumníci pustili do vytvorenia jednoduchého súboru HTML obsahujúceho sandboxed iframe s krížovým pôvodom a tlačidlo mimo neho, ktoré spustilo udalosť na prístup k iframe a presmerovanie kliknutí na nečestné webové stránky.

“The […] tlačidlo je napokon mimo rámca v karanténe,“ povedala výskumníčka z Confiant Eliya Stein. „Ak však dôjde k presmerovaniu, znamená to, že máme v rukách bezpečnostnú chybu prehliadača, čo sa ukázalo pri testovaní na prehliadačoch založených na WebKit. , konkrétne Safari na počítači a iOS.”

Po zodpovednom zverejnení Apple 23. júna 2020 technický gigant opravil WebKit v decembri 2, 2020 a následne riešili problém „s vylepšeným presadzovaním karantény iframe“ v rámci bezpečnostných aktualizácií vydaných začiatkom tohto mesiaca pre iOS 14.4 a macOS Big Sur.

Spoločnosť Confiant uviedla, že prevádzkovatelia ScamClub poskytli za posledných 90 dní viac ako 50 miliónov škodlivých zobrazení, pričom za jediný deň sa zobrazilo až 16 miliónov ovplyvnených reklám.

“Pokiaľ ide o taktiku, tento útočník historicky uprednostňuje to, čo označujeme ako stratégiu ‘bombardovania’,” vysvetlil Stein.

„Namiesto toho, aby sa pokúšali lietať pod radarom, zaplavujú ekosystém reklamnej techniky tonami strašných požiadaviek, dobre si uvedomujú, že väčšina z nich bude blokovaná nejakým druhom stráženia brán, ale robia to neuveriteľne vysokými objemami v nádeji, že malé percento, ktoré prekĺzne, spôsobí značné škody.”

Confiant tiež zverejnil zoznam webových stránok, ktoré skupina ScamClub používa na spustenie svojej nedávnej podvodnej kampane.