Malvertising og Drive-By-downloads

En ny Confiant-rapport udforsker “detaljerne bag en nylig række af hacks til websider” samt ondsindede nyttelast leveret til ofre. Rapporten indeholder også detaljer om drev-ved-downloads, deres nuværende tilstand i større browsere, og hvordan de vil blive behandlet i fremtiden.

Der er mere ved malvertisering end mødet

Forskerne undersøger også malvertiseringskampagner, således med det formål at give “et meget bredere landskab ud over, hvad der blot sker i annoncepladsen“. Med andre ord, der er mere ved malvertisering end ondsindede annoncer. Mediekøb kan være en foretrukken mulighed for et indgangspunkt, men de er ikke den eneste tilgængelige mulighed.

Hvad er den aktuelle tilstand af malvertising og drive-by-downloads?

I en typisk malvertiseringskæde, der er flere overførsler, svarende til en traditionel annonceteknologisk drevet CPA-kampagne. Med malware, det sker bare så, at de sidstnævnte faser af hånden ud sker blandt skitserede mellemmænd, der tager offeret til en ondsindet destinationsside, Selvsikker forklarer.

Forskerne inspicerede nøje en ondsindet hændelse, der skete med Android-appversionen af ​​BoingBoing i januar 2020, når ondsindede overlejringer blev fundet på webstedet. Oprindeligt antages det at være en "dårlig annonce" -hændelse, det samme angreb blev senere også fundet på andre websteder:

I løbet af de følgende uger, vi opdagede dette angreb på et væld af sider. Normalt manifesterer dette sig gennem et CMS-kompromis, der introducerer denne ondsindede nyttelast.

Med andre ord, det viste sig, at den formodede malvertiseringskampagne ikke er relateret til malvertisinf. Faktisk, BoingBoings CMS blev hacket, og der blev injiceret et script, der viste de ondsindede overlejringer til besøgende.

Efter nogle yderligere undersøgelser, forskerne opdagede, at drive-by-downloads blev initieret af JavaScript indlejret på siden. Dette script opretter et link på siden og klikker på et link, uden behov for brugerinteraktion, derved påbegynder download.

Derefter dukkede et spørgsmål op: selvom BoingBoing-angrebet ikke var malvertising, kunne et lignende scenario ske via malvertising og sandboxed iframes?

De fleste annoncer er afhængige af sandkasser iframes for at integrere en annonce på en webside. Da annoncer typisk kontrolleres af tredjepart, iframes bruges normalt med sandboxing for at forbedre sikkerheden og begrænse handlinger fra tredjeparters side.

Hvordan har browsere det??

For at kontrollere, om det ondsindede script vil føre til et drev-til-download af en APK i sandkasseret cross-origin iframes, forskerne oprettede en proof-of-concept-side med ideen til at teste flere browsere.

Inspirationen til at udføre denne analyse var den chokerende opdagelse, at de fleste browsere vil respektere tvungen downloads fra rammer på tværs af oprindelsen. Faktisk, tvungne downloads som dette er stadig ofte muligt i Sandboxed Cross-Origin iframes, har kun været adresseret i Chrome til denne sidste version af Chrome 83, rapporten forklaret.

Men, tingene er ikke så gode med Mozilla Firefox, da denne browser ikke forhindrer downloads i iframes på tværs af oprindelsen, hvilket fører til, at brugeren bliver bedt om at downloade filen. Et lignende billede blev set i den modige browser. Hvad angår Safari, af en eller anden grund browseren “vil ære downloadet, men ser ud til bare at sidde fast” uden endda at afslutte det.

Mobilbrowsere viste inkonsekvent opførsel:

For eksempel, Android-browsere er hurtig til at advare dig, når download er en fil med en APK-udvidelse, men alt andet får ofte ikke engang en prompt.

Som påpeget i rapporten, det er ret overraskende, at vi i dag stadig kan tvinge download, som ikke er startet af brugeren, uden nogen promp fra cross-origin iframes i de fleste større browsere. Spørgsmålet hvorfor står stadig ubesvaret.

---

Nogle år siden, en stor malvertiseringskampagne som har overtaget hele annonceservere for at indsætte ondsindede annoncer i deres annoncebeholdninger blev opdaget af Confiant. De ondsindede annoncer omdirigerer intetanende brugere til websteder, der køres med malware, der typisk er maskeret som opdateringer af Adobe Flash Player. Kampagnen havde pågået i mindst ni måneder.