Следует отметить, что хакеры не нашли никакого способа показа рекламы бесплатно; вместо этого, modus operandi злоумышленников eGobbler требует больших бюджетов для показа миллиардов рекламных показов на высококлассных веб-сайтах через легальные рекламные сети.
Но вместо того, чтобы полагаться на преднамеренное взаимодействие посетителей с рекламой в Интернете, eGobbler использует эксплойты браузера (Chrome и Safari) для достижения максимальной скорости кликов и успешного захвата как можно большего количества сеансов пользователей.
В своей предыдущей кампании по рекламе вредоносных программ группа eGobbler использовала уязвимость «нулевого дня» (CVE-2019-5840) в Chrome для iOS еще в апреле , что позволило им успешно обойти встроенную в браузер блокировку всплывающих окон на устройствах iOS и Захватите 500 миллионов сеансов мобильных пользователей всего за неделю, чтобы показать всплывающую рекламу.
eGobbler использует уязвимость WebKit для перенаправления пользователей на вредоносные сайты
Однако, согласно последнему отчету, опубликованному охранной фирмой Confiant, субъекты угроз eGobbler недавно обнаружили и начали использовать новую уязвимость в WebKit , движке браузера, используемом браузером Apple Safari для iOS и macOS, Chrome для iOS, а также в более ранних версиях Chrome для рабочего стола.
Новый эксплойт WebKit более интересен, потому что он не требует, чтобы пользователи нажимали где-либо на законных новостях, блогах или информативных веб-сайтах, которые они посещают, и при этом он не создает никакой всплывающей рекламы.
Вместо этого медийная реклама, спонсируемая eGobbler, использует уязвимость WebKit для принудительного перенаправления посетителей на веб-сайты с мошенническими схемами или вредоносными программами, как только они нажимают кнопку «вниз» или «вниз» на своих клавиатурах, читая контент на сайте.
Это связано с тем, что уязвимость Webkit фактически заключается в функции JavaScript, называемой событием onkeydown, которое происходит каждый раз, когда пользователь нажимает клавишу на клавиатуре, что позволяет объявлениям, отображаемым внутри фреймов, выходить из-под защиты «песочницы» безопасности.
«Однако на этот раз всплывающее окно iOS Chrome появилось не так, как раньше, но на самом деле мы испытывали перенаправление в браузерах WebKit после события« onkeydown », - говорят исследователи в своем последнем отчете .
«Суть ошибки заключается в том, что вложенный iframe с несколькими источниками может выполнять« автофокусировку », что обходит директиву« песочница »allow-top-navigation-by-user-Activation в родительском фрейме».
«Благодаря автоматической фокусировке внутреннего фрейма событие keydown становится активируемым пользователем навигационным событием, что делает изолированную среду для рекламы совершенно бесполезной в качестве меры по принудительному уменьшению перенаправления».
Хотя правила Apple App Store ограничивают все приложения для iOS возможностью просмотра веб-страниц в своей среде WebKit, в том числе и для Google Chrome для iOS, мобильные пользователи все еще менее подвержены влиянию недостатка перенаправления, так как событие onkeydown не работает на мобильная ОС.
Как полагают исследователи, «этот подвиг был ключевым в усилении воздействия этой атаки».
В период с 1 августа по 23 сентября участники угроз представляли свой вредоносный код ошеломляющему объему рекламы, который, по оценкам исследователей, составляет до 1,16 миллиарда показов.
В то время как предыдущая рекламная кампания eGobbler была ориентирована в первую очередь на пользователей iOS в Соединенных Штатах, последняя атака была направлена на пользователей в странах Европы, большинство из которых были из Италии.
Confiant в частном порядке сообщил об уязвимости WebKit командам безопасности Google и Apple. Apple исправила недостаток в WebKit с выпуском iOS 13 19 сентября и в браузере Safari 13.0.1 24 сентября, в то время как Google еще не решил эту проблему в Chrome.