”А række grasserende malvertising kampagner”Der er fundet rettet mod iOS brugere. Kampagnerne målrettet både amerikanske og europæiske udgivere, og henholdsvis brugere.
Ifølge Confiant sikkerhedseksperter de ondsindede aktiviteter kommer fra en kendt trussel skuespiller kaldet eGobbler der tjente sit navn på grund af de enorme mængder af hits, deres kampagner genererer.
Hacker-gruppen har en tendens til at ”rampe op deres køb omkring ferier og weekender". Normalt deres kampagner højdepunkt i volumen over en periode på 36-48 timer før de går ind i en tilstand af dvale indtil den næste store skub, forskerne sagde.
eGobbler malvertising kampagner I Detail
Den seneste bølge af angreb er forbundet med brugen af ”.world” TLD for destinationssider. Mængden af angreb er opdelt i 8 individuelle kampagner og mere end 30 falske reklamer (destinationssider). Varigheden af kampagnen er 6 dage, begynder på lørdag, 6 april. Ofre er placeret på tværs af USA og Europa.
Ifølge rapporten:
Den falske annoncekampagner selv havde levetider i 24-48 timer rækkevidde, som er fælles med eGobbler. Vi anslår, at over 500MM brugersessioner har været udsat starten lørdag, 6 april. Selvom eGobbler nylig er blevet set på mange buy-side platforme, Hele denne kampagne kørte på blot én hele tiden.
Den eGobbler trussel skuespiller søger at gå på kompromis legitime ad servere samt nogle buy-side platforme. Hackere udnyttet kappeklædte mellemliggende CDN-domæner for deres infektion kæde. I deres forsøg på at holde lav profil, hackere forsøgte også at ”smugle” deres nyttelast i velkendte klientsiden JavaScript-biblioteker såsom GreenSock.
Den 8 individuelle kampagner, der blev indført under den store storm efter April 6 blev forskudt med nye vises ca. hver anden dag. Hver kampagne havde sin egen målretning, og sin egen levetid, forskerne opdaget.
Under deres analyse, som omfattede reverse engineering nyttelasten, forskerne opdagede teknikker, gearede “iOS Chromes afsløring omkring brugeren aktiveret pop op-afsløring, hvilket resulterer i omgåelse af pop-up-blokering“. Hvad betyder det? Nyttelasten vigtigste sessionskapring mekanisme blev pop-up-baserede. Med andre ord, Det viste sig, at “Chrome på iOS var en outlier i, at den indbyggede pop-up-blokering mislykkedes konsekvent“. Forskerne vil give en analyse af nyttelast og en proof-of-concept udnytte til sårbarheden i Chrome på iOS i den nærmeste fremtid, som kampagnen er stadig aktiv, og fejlen er unpatched.
Den gode nyhed er, at Chrome hold er blevet underrettet om fejlen om en uge siden, og undersøger i øjeblikket.
Det overordnede indtryk af denne omfattende malvertising kampagne er, at truslen skuespillere gjorde deres bedste. Sammenlignet med andre sådanne kampagner, denne ene var enestående i både nyttelast og mængder. Det er bemærkelsesværdigt, at kampagnen så et strategisk omdrejningspunkt på April 14 til en anden platform og fortsætter med at være aktiv under ”.site” TLD destinationssider.
"Med en halv milliard brugersessioner påvirket, dette er blandt de øverste tre massive malvertising kampagner, vi har set i den sidste 18 måneder", forskerne konkluderede.
RoughTed er et andet eksempel på en ganske vellykket malvertising kampagne, som blev påvist i 2017. RoughTed var en storstilet malvertising kampagne, der oplevede et højdepunkt i marts samme år. Både Windows og Mac operativsystemer var rettet, samt iOS og Android. Operationen var ganske sjældne i sin alsidighed, har anvendt en række forskellige ondsindede henvendelser fra at udnytte kits til online svindel såsom falske teknisk support svindel, falske opdateringer, slyngelstater browserudvidelser.