Hơn một tỷ lượt hiển thị quảng cáo độc hại khai thác lỗ hổng WebKit nhắm vào người dùng Apple


Nhóm hacker khét tiếng eGobbler nổi lên từ hồi đầu năm nay với các chiến dịch quảng cáo độc hại “khổng lồ”, mới đây lại tiếp tục gây chú ý với một chiến dịch mới khai thác hai lỗ hổng trình duyệt nhằm hiển thị quảng cáo pop-up xâm nhập và cưỡng bức người dùng chuyển hướng đến các trang web độc hại.

Cần lưu ý là các hacker không hề tìm được cách chạy quảng cáo miễn phí, mà thay vào đó phương thức hoạt động của chúng là dựa vào các khoản ngân quỹ lớn để đạt được hàng tỷ lượt hiển thị quảng cáo trên các trang web nổi tiếng (high profile) thông qua các mạng quảng cáo hợp pháp.

Khai thác trình duyệt nhằm đạt tỷ lệ nhấp chuột tối đa

Nhưng thay vì dựa vào số lượt tương tác có chủ ý của khách truy cập với quảng cáo trực tuyến, eGobbler sử dụng các thủ thuật khai thác trình duyệt (Chrome và Safari) để đạt được tỷ lệ nhấp chuột (click rate) tối đa và chiếm quyền kiểm soát càng nhiều phiên của người dùng càng tốt.

Trong chiến dịch quảng cáo độc hại được thực hiện hồi tháng 4, nhóm eGobbler đã khai thác thành công lỗ hổng 0-day (CVE-2019-5840) trong Chrome dành cho hệ điều hành iOS, cho phép những kẻ này vượt qua (bypass) trình chặn cửa sổ pop-up tích hợp của trình duyệt trên các thiết bị iOS và chiếm quyền kiểm soát 500 triệu phiên người dùng di động trong vòng một tuần nhằm hiển thị các quảng cáo pop-up.

Tác động của eGobbler tại các khu vực địa lý khác nhau
Quảng cáo pop-up mẫu độc hại cho thấy cách thức các hacker đe dọa nạn nhân với các thông báo
về tình trạng lây nhiễm virus của thiết bị

Mặc dù Google đã vá lỗ hổng với việc phát hành Chrome 75 vào tháng 6, nhưng eGobbler vẫn đang tiếp tục khai thác lỗ hổng này để nhắm mục tiêu vào những người dùng chưa cập nhật phiên bản trình duyệt Chrome mới.

eGobbler khai thác lỗ hổng WebKit để chuyển hướng người dùng đến các trang web độc hại

Tuy nhiên, theo báo cáo mới nhất được công bố bởi công ty bảo mật Confiant, các tác nhân đe dọa eGobbler gần đây đã phát hiện và bắt đầu khai thác một lỗ hổng mới trong WebKit – một công cụ trình duyệt nguồn mở được sử dụng bởi trình duyệt Apple Safari cho iOS, macOS, Chrome dành cho iOS và cả các phiên bản trước đó của Chrome cho máy tính để bàn.

Khai thác WebKit mới có nhiều điểm thú vị hơn vì nó không yêu cầu người dùng nhấp vào bất cứ nơi nào trên các bản tin, blog hoặc trang web thông tin mà họ truy cập, đồng thời cũng không tạo ra bất kỳ quảng cáo pop-up nào.

Thay vào đó, quảng cáo hiển thị được bảo trợ bởi eGobbler tận dụng các khai thác WebKit để cưỡng bức chuyển hướng khách truy cập đến các trang web lưu trữ các chương trình lừa đảo hoặc phần mềm độc hại ngay khi họ nhấn nút “key down” (phím xuống) hoặc “page down” (trang xuống) trên bàn phím trong khi đọc nội dung trên trang web.

Điều này xảy ra là do lỗ hổng Webkit nằm trong một hàm JavaScript, được gọi là onkeydown. Mỗi khi người dùng nhấn vào một phím trên bàn phím, quảng cáo sẽ được cho phép hiển thị trong iframe và tránh được các bảo vệ từ hộp cát bảo mật.

Hơn 1,16 lượt hiển thị quảng cáo độc hại

Mặc dù theo nguyên tắc thì cửa hàng ứng dụng Apple sẽ hạn chế tất cả các ứng dụng iOS có khả năng duyệt web để sử dụng khung WebKit của nó, bao gồm cả Google Chrome cho iOS, điều đó có nghĩa người dùng di động ít có khả năng bị ảnh hưởng bởi lỗ hổng chuyển hướng vì ‘onkeydown’ không hoạt động trên hệ điều hành di động.

Tuy nhiên, payload của eGobbler thường được phân phối thông qua các dịch vụ CDN phổ biến có bao gồm mã để kích hoạt chuyển hướng khi khách truy cập (của các ứng dụng web được nhắm mục tiêu) cố gắng nhập nội dung nào đó trong vùng văn bản hoặc biểu mẫu tìm kiếm. Lúc này các hacker có khả năng cao để tối đa hóa cơ hội chiếm quyền điều khiển các keypress này.

Các nhà nghiên cứu tin rằng đây chính là điểm mấu chốt khiến cho cuộc tấn công trở nên nghiêm trọng hơn.  

Từ ngày 1 tháng 8 đến ngày 23 tháng 9, các nhà nghiên cứu ước tính có tới hơn 1,16 tỷ lượt hiển thị.

Nếu chiến dịch trước, eGobbler chủ yếu nhắm vào người dùng iOS ở Hoa Kỳ thì cuộc tấn công mới này chuyển hướng mục tiêu vào những người dùng ở các nước châu Âu và phần lớn là từ Ý.

Confiant đã báo cáo riêng về lỗ hổng WebKit cho các nhóm bảo mật của Google và Apple. Apple đã vá lỗ hổng trong WebKit bằng việc phát hành iOS 13 vào ngày 19 tháng 9 và trong trình duyệt Safari 13.0.1 vào ngày 24 tháng 9, trong khi Google vẫn chưa giải quyết vấn đề này trong Chrome.

Hải Linh Trương –THN

Best Corporate Security Blog


refer: http://www.securitybloggersnetwork.com

security1

Other nominees:

McAfee Blog: click here

CloudFlare Blog: click here

SecureWorks Blog: click here

Solutionary Minds Blog: click here

Kaspersky Lab Securelist Blog: click here

Veracode Blog: click here

Trend Micro Blog: click here

AND THE WINNER IS:

Naked Security Blog: click here

Best Security Podcast

Other nominees:

Liquidmatrix Security Digest: click here

EuroTrashSecurity: click here

SANS Internet Storm Center: click here

Southern Fried Security: click here

Risky Business: click here

Sophos Security Chet Chat: click here

And the winner is:

Paul Dotcom: click here

The Most Educational Security Blog

Other nominees:

BH Consulting’s Security Watch Blog: click here

Security Uncorked Blog: click here

Dr. Kees Leune’s Blog: click here

Securosis Blog: click here

Social-Engineer.org Blog: click here

Critical Watch Blog: click here

The Security Skeptic Blog: click here

The New School of Information Security Blog: click here

And the winner is:

Krebs On Security: click here

The Most Entertaining Security Blog

Other nominees:

Packet Pushers Blog: click here

Securosis Blog: click here

Errata Security Blog: click here

Naked Security Blog: click here

Uncommon Sense Security Blog: click here

PSilvas Blog: click here

And the winner is:

J4VV4D’s Blog: click here

The Blog That Best Represents The Security Industry

Other nominees:

SpiderLabs Anterior Blog: click here

1 Raindrop Blog: click here

Naked Security Blog: click here

The Firewall (Forbes) Blog: click here

Threat Level (Wired) Blog: click here

Securosis Blog: click here

Michael Peters Blog: click here

And the winner is:

Krebs On Security Blog: click here

The Single Best Blog Post or Podcast Of The Year

Other nominees:

The Epic Hacking of Mat Honan and Our Identity Challenge: click here

Application Security Debt and Application Interest Rates: click here

Why XSS is serious business (and why Tesco needs to pay attention): click here

Levelling up in the real world: click here

Secure Business Growth, Corporate Responsibility with Ben Tomhave: click here

And the winner is:

Meet The Hackers Who Sell Spies The Tools To Crack Your PC (And Get Paid Six-Figure Fees): click here

The Security Bloggers Hall Of Fame

The other nominees are:

Richard Bejtlich

Gunnar Peterson

Naked Security Blog

Wendy Nather

And the winner is:

Jack Daniel

Feminist Freelancer

A Community for Women in Freelancing

We The Story.

THINKING THE THOUGHTS AND TALKING THE TALK

OCALI Now

OCALI's monthly newsletter

MS Warrior

Fighting in the everyday battle against Multiple Sclerosis

thevagrantwriter.wordpress.com/

Vagrant Thoughts On Writing, Life and God

Ken Braddy

Encouraging & Equipping Sunday School & Small Groups

Life with Spina Bifida

Disability, Lifestyle, and Random Thoughts

Warm Tea, Comic Books, and B-Movies

A simple blog designed to help you find purpose and live well.

Devaneios de Chocolate

"All you need is love, but a little chocolate now and then doesn't hurt."

Chuy's World USA

Motivacion, Cultura, Arte, Musica y comedia. Motivation , Culture, Art, Music and Comedy

My Welsh Coastal Walking

This is a diary of our walks along the Wales Coast Path

有心人事

用心理學破解生活中的大小事

PLUS Blog

A place to share thoughts on professional liability insurance

Rural Economy Technology

Broadband technology will jumpstart rural economies

healthcarereimagined

Envisioning healthcare for the 21st century

PK AUDIOVISUAL

Freelance Consultant . Audio . Video . IoT . Integrated Systems . Video Conferencing . Design . Engineering . Education . Collaboration . IT . Cybersecurity

Curtis Hawkins

Information security, enterprise security, penetration testing and more.

Boston Ward 19 Democratic Committee

Serving 13 Precincts of Jamaica Plain and Roslindale

OlympicTalk

Olympic sports news from around the globe.

%d bloggers like this: