Hơn một tỷ lượt hiển thị quảng cáo độc hại khai thác lỗ hổng WebKit nhắm vào người dùng Apple


Nhóm hacker khét tiếng eGobbler nổi lên từ hồi đầu năm nay với các chiến dịch quảng cáo độc hại “khổng lồ”, mới đây lại tiếp tục gây chú ý với một chiến dịch mới khai thác hai lỗ hổng trình duyệt nhằm hiển thị quảng cáo pop-up xâm nhập và cưỡng bức người dùng chuyển hướng đến các trang web độc hại.

Cần lưu ý là các hacker không hề tìm được cách chạy quảng cáo miễn phí, mà thay vào đó phương thức hoạt động của chúng là dựa vào các khoản ngân quỹ lớn để đạt được hàng tỷ lượt hiển thị quảng cáo trên các trang web nổi tiếng (high profile) thông qua các mạng quảng cáo hợp pháp.

Khai thác trình duyệt nhằm đạt tỷ lệ nhấp chuột tối đa

Nhưng thay vì dựa vào số lượt tương tác có chủ ý của khách truy cập với quảng cáo trực tuyến, eGobbler sử dụng các thủ thuật khai thác trình duyệt (Chrome và Safari) để đạt được tỷ lệ nhấp chuột (click rate) tối đa và chiếm quyền kiểm soát càng nhiều phiên của người dùng càng tốt.

Trong chiến dịch quảng cáo độc hại được thực hiện hồi tháng 4, nhóm eGobbler đã khai thác thành công lỗ hổng 0-day (CVE-2019-5840) trong Chrome dành cho hệ điều hành iOS, cho phép những kẻ này vượt qua (bypass) trình chặn cửa sổ pop-up tích hợp của trình duyệt trên các thiết bị iOS và chiếm quyền kiểm soát 500 triệu phiên người dùng di động trong vòng một tuần nhằm hiển thị các quảng cáo pop-up.

Tác động của eGobbler tại các khu vực địa lý khác nhau
Quảng cáo pop-up mẫu độc hại cho thấy cách thức các hacker đe dọa nạn nhân với các thông báo
về tình trạng lây nhiễm virus của thiết bị

Mặc dù Google đã vá lỗ hổng với việc phát hành Chrome 75 vào tháng 6, nhưng eGobbler vẫn đang tiếp tục khai thác lỗ hổng này để nhắm mục tiêu vào những người dùng chưa cập nhật phiên bản trình duyệt Chrome mới.

eGobbler khai thác lỗ hổng WebKit để chuyển hướng người dùng đến các trang web độc hại

Tuy nhiên, theo báo cáo mới nhất được công bố bởi công ty bảo mật Confiant, các tác nhân đe dọa eGobbler gần đây đã phát hiện và bắt đầu khai thác một lỗ hổng mới trong WebKit – một công cụ trình duyệt nguồn mở được sử dụng bởi trình duyệt Apple Safari cho iOS, macOS, Chrome dành cho iOS và cả các phiên bản trước đó của Chrome cho máy tính để bàn.

Khai thác WebKit mới có nhiều điểm thú vị hơn vì nó không yêu cầu người dùng nhấp vào bất cứ nơi nào trên các bản tin, blog hoặc trang web thông tin mà họ truy cập, đồng thời cũng không tạo ra bất kỳ quảng cáo pop-up nào.

Thay vào đó, quảng cáo hiển thị được bảo trợ bởi eGobbler tận dụng các khai thác WebKit để cưỡng bức chuyển hướng khách truy cập đến các trang web lưu trữ các chương trình lừa đảo hoặc phần mềm độc hại ngay khi họ nhấn nút “key down” (phím xuống) hoặc “page down” (trang xuống) trên bàn phím trong khi đọc nội dung trên trang web.

Điều này xảy ra là do lỗ hổng Webkit nằm trong một hàm JavaScript, được gọi là onkeydown. Mỗi khi người dùng nhấn vào một phím trên bàn phím, quảng cáo sẽ được cho phép hiển thị trong iframe và tránh được các bảo vệ từ hộp cát bảo mật.

Hơn 1,16 lượt hiển thị quảng cáo độc hại

Mặc dù theo nguyên tắc thì cửa hàng ứng dụng Apple sẽ hạn chế tất cả các ứng dụng iOS có khả năng duyệt web để sử dụng khung WebKit của nó, bao gồm cả Google Chrome cho iOS, điều đó có nghĩa người dùng di động ít có khả năng bị ảnh hưởng bởi lỗ hổng chuyển hướng vì ‘onkeydown’ không hoạt động trên hệ điều hành di động.

Tuy nhiên, payload của eGobbler thường được phân phối thông qua các dịch vụ CDN phổ biến có bao gồm mã để kích hoạt chuyển hướng khi khách truy cập (của các ứng dụng web được nhắm mục tiêu) cố gắng nhập nội dung nào đó trong vùng văn bản hoặc biểu mẫu tìm kiếm. Lúc này các hacker có khả năng cao để tối đa hóa cơ hội chiếm quyền điều khiển các keypress này.

Các nhà nghiên cứu tin rằng đây chính là điểm mấu chốt khiến cho cuộc tấn công trở nên nghiêm trọng hơn.  

Từ ngày 1 tháng 8 đến ngày 23 tháng 9, các nhà nghiên cứu ước tính có tới hơn 1,16 tỷ lượt hiển thị.

Nếu chiến dịch trước, eGobbler chủ yếu nhắm vào người dùng iOS ở Hoa Kỳ thì cuộc tấn công mới này chuyển hướng mục tiêu vào những người dùng ở các nước châu Âu và phần lớn là từ Ý.

Confiant đã báo cáo riêng về lỗ hổng WebKit cho các nhóm bảo mật của Google và Apple. Apple đã vá lỗ hổng trong WebKit bằng việc phát hành iOS 13 vào ngày 19 tháng 9 và trong trình duyệt Safari 13.0.1 vào ngày 24 tháng 9, trong khi Google vẫn chưa giải quyết vấn đề này trong Chrome.

Hải Linh Trương –THN

Best Corporate Security Blog


refer: http://www.securitybloggersnetwork.com

security1

Other nominees:

McAfee Blog: click here

CloudFlare Blog: click here

SecureWorks Blog: click here

Solutionary Minds Blog: click here

Kaspersky Lab Securelist Blog: click here

Veracode Blog: click here

Trend Micro Blog: click here

AND THE WINNER IS:

Naked Security Blog: click here

Best Security Podcast

Other nominees:

Liquidmatrix Security Digest: click here

EuroTrashSecurity: click here

SANS Internet Storm Center: click here

Southern Fried Security: click here

Risky Business: click here

Sophos Security Chet Chat: click here

And the winner is:

Paul Dotcom: click here

The Most Educational Security Blog

Other nominees:

BH Consulting’s Security Watch Blog: click here

Security Uncorked Blog: click here

Dr. Kees Leune’s Blog: click here

Securosis Blog: click here

Social-Engineer.org Blog: click here

Critical Watch Blog: click here

The Security Skeptic Blog: click here

The New School of Information Security Blog: click here

And the winner is:

Krebs On Security: click here

The Most Entertaining Security Blog

Other nominees:

Packet Pushers Blog: click here

Securosis Blog: click here

Errata Security Blog: click here

Naked Security Blog: click here

Uncommon Sense Security Blog: click here

PSilvas Blog: click here

And the winner is:

J4VV4D’s Blog: click here

The Blog That Best Represents The Security Industry

Other nominees:

SpiderLabs Anterior Blog: click here

1 Raindrop Blog: click here

Naked Security Blog: click here

The Firewall (Forbes) Blog: click here

Threat Level (Wired) Blog: click here

Securosis Blog: click here

Michael Peters Blog: click here

And the winner is:

Krebs On Security Blog: click here

The Single Best Blog Post or Podcast Of The Year

Other nominees:

The Epic Hacking of Mat Honan and Our Identity Challenge: click here

Application Security Debt and Application Interest Rates: click here

Why XSS is serious business (and why Tesco needs to pay attention): click here

Levelling up in the real world: click here

Secure Business Growth, Corporate Responsibility with Ben Tomhave: click here

And the winner is:

Meet The Hackers Who Sell Spies The Tools To Crack Your PC (And Get Paid Six-Figure Fees): click here

The Security Bloggers Hall Of Fame

The other nominees are:

Richard Bejtlich

Gunnar Peterson

Naked Security Blog

Wendy Nather

And the winner is:

Jack Daniel

CSSE

Nguoidentubinhduong'blog

emprisetechnologies.wordpress.com/

All About Data, Technology, and Business Intelligence

Dorin's Blog

Reflections and musings about living in the intersection of communications and technology.

Los Alamos Reporter

The News from Los Alamos & Beyond

Priscilla's Blog

某天忽發奇想,自立門戶當起經理人,在地球村發掘真知灼見之仕,遊走各會議峰會之間,生意之餘,大開眼界。寫文章是自家習作。文章散見立場新聞、信報 StartUpBeat、信報 LifeStyle Journal、The News Lens 關鍵評論網等。

Dr.Lamba's Awakening Call

Awakening Call -Provocative, Futuristic , Incisive

bookloverjo

On a mission to find the right book for every child and encourage reading for pleasure

LAWSON's Life's Lessons

Have you ever been in a situation where you wonder what or if you would have done differently if you had known it was going to be the last time you would get to do it?

Rajalary

The adventures of Richard and Julie Lary

Dirty wet dog , boats and sailing.

Mainly old boats, the mainly old blokes that sail them and all the other weird stuff they think about.

Love is the Best Medicine

Harlequin/Mills and Boon Medical Romance Authors

Frank Parker's author site

A Septuagenarian's ramblings

MichaelAitken

Painting, Songwriting and Poetry

The Minimalists Next Door

Living simply, frugally, and intentionally

Kingfisher Journey- Marina Richie

The kingfisher is the halcyon bird and my muse. I often write stories of reciprocity with nature. To follow my blog via email and/or Wordpress, sign up here (right column below). Thank you.

NAVIGATE

Travel Blog

Where’s Jordan Now

Life's all about the little things...

%d bloggers like this: