eGobbler infekuje ponad 1 miliard reklam w światowej kampanii
8 października 2019
Złośliwe oprogramowanie eGobbler powraca, tym razem wykorzystując lukę WebKit wykorzystywaną głównie przez przeglądarkę Safari iPhone’a. Analitycy bezpieczeństwa z Confiant szacują, że od rozpoczęcia najnowszej kampanii eGobbler, 1 sierpnia, doszło do 1,16 miliarda wyświetleń.
Chociaż ludzie zwykle obawiają się otwierać zainfekowane wiadomości e-mail, mogą nie zachować takiej samej ostrożności podczas przeglądania Internetu w poszukiwaniu nowej pary butów. Właśnie na tym koncentrują się autorzy zagrożeń, tacy jak eGobbler. eGobbler to coś, co branża bezpieczeństwa nazywa malvertiser, który stara się przypominać zwykłą firmę próbującą sprzedawać reklamy online.
Problem pojawia się, gdy reklamy wykorzystują luki w przeglądarkach, zwykle przekierowując użytkowników do stron internetowych zawierających złośliwe oprogramowanie, gotowych do zainfekowania niechronionych lub nieaktualnych urządzeń. Tego rodzaju ataki są znacznie częstsze, niż ludzie myślą. Przypomnij sobie, jak często otwierasz witrynę internetową, aby przekierowywać ją bez Twojego udziału w innym miejscu. Jeśli masz aktualny telefon i przeglądarkę internetową, najprawdopodobniej wszystko będzie dobrze. Ale nie zawsze.
Confiant śledził eGobbler po tym, jak zadebiutował na rynku, wykorzystując lukę Google Chrome na urządzeniach z iOS, 6 kwietnia. Zainfekowane reklamy były ukierunkowane na wbudowane blokowanie wyskakujących okienek przeglądarki, łatwo omijając Sandbox i wysyłając ludzi na różne strony docelowe i witryny. Ich pierwsza kampania trwała nieco ponad sześć dni. Confiant szacuje, że ujawniono ponad 500 milionów sesji, chociaż problem pojawił się tylko na iOS.
Confiant powiadomił zespół Chromium, a wraz z wydaniem Chrome 75 pojawiła się poprawka. Można by pomyśleć, że to koniec eGobblera, ale wrócił. Tym razem atakuje przeglądarkę internetową Safari, która nadal korzysta z WebKit. „Wyskakujące okienko iOS Chrome nie odradzało się tak jak poprzednio, ale w rzeczywistości podczas przekierowania„ onkeydown ”mieliśmy do czynienia z przekierowaniami w przeglądarkach WebKit” – powiedziała Eliya Stein, badaczka bezpieczeństwa w Confiant.
„Charakter błędu polega na tym, że zagnieżdżona ramka iframe pochodząca z różnych źródeł jest w stanie„ autofocus ”, która omija dyrektywę Sandbox„ zezwalaj na najwyższą nawigację według aktywacji użytkownika ”na ramce nadrzędnej. Po automatycznym ustawieniu wewnętrznej ramki zdarzenie keydown staje się zdarzeniem nawigacyjnym aktywowanym przez użytkownika, co sprawia, że Sandbox reklam jest całkowicie bezużyteczna jako środek do wymuszonego ograniczenia przekierowań.”
Oczywiście Confiant szybko zgłosił problem Apple i Chrome, a poprawka została zaimplementowana w WebKit, iOS i Safari do 24 września.