针对来自美国和多个欧盟国家的iOS用户的多起大规模恶意攻击持续了近一周,这些攻击使用了Chrome的iOS漏洞,绕过了该浏览器内置的弹出窗口拦截器。
eGobbler,这一系列攻击背后的威胁组织,在整个宣传过程中使用了“8个单独的广告活动和30多个虚假创意”,每个虚假广告活动的寿命在24到48小时之间。据发现和监控eGobbler iOS攻击的研究人员称,总共有大约5亿用户参与了这场大规模的、精心策划的宣传虚假广告的活动。
eGobbler 的攻击活动通常最多持续48小时,紧接着是短暂的休眠,当Confiant的专家发现下一次攻击开始时,这种休眠就会突然终止。四月的活动使用了。world域名的登陆页面,并利用弹出窗口劫持用户会话,将受害者重定向到恶意登陆页面。
虽然使用弹出窗口作为类似于将目标重定向到恶意行为者为钓鱼或恶意软件删除目的而设计的页面的方法的一部分已经被观察到,但是考虑到浏览器弹出窗口拦截器的有效性,这绝对是一个不同寻常的方法。
在研究人员测试了恶意广告活动的有效载荷后,骗子们决定使用弹出窗口劫持用户会话。这些有效载荷“跨越24个设备,包括物理设备和虚拟设备”,并“在沙箱和非沙箱iframe之间对这个实验进行了分割测试。”
他们发现,有效载荷的主要会话劫持机制是基于弹出窗口的,而且,iOS上的Chrome是一个例外,内置的弹出窗口拦截器总是失败。发生这种情况的原因被揭示是载荷内置的技术,利用iOS Chrome的检测周围的用户激活弹出检测,从而绕过弹出框阻塞。
eGobbler Chrome for iOS利用了绕过广告沙箱属性
为了做到这一点,eGobbler集团在这些大规模的恶意宣传活动中使用的恶意有效负载利用了iOS web浏览器Chrome中一个尚未修补的漏洞——在Confiant于4月11日报告了这个漏洞之后,Chrome团队正在调查这个问题。
更糟糕的是,eGobbler所利用的恶意利用是无法通过标准的广告沙箱属性来预防的。这意味着,在谷歌的AdX和EBDA等广告服务产品中构建的广告沙箱属性也将受到有效负载及其用户交互需求的限制。
这一活动是由eGobbler malvertising小组专门针对iOS用户设计的,但这并不是第一次。2018年11月,Confiant监控了由诈骗俱乐部组织发起的另一场活动,该组织成功劫持了大约3亿iOS用户会话,并将其全部转向成人内容和礼品卡诈骗。
在短暂的停顿之后,该活动在4月14日战略重心转向另一个平台,目前仍活跃在。网站的TLD登陆页面。由于受到5亿用户的影响,这是我们在过去18个月里看到的三大恶意广告活动之一。
还没有评论,来说两句吧...