Ein neuer Confiant-Bericht wird untersucht “die Details hinter einer kürzlichen Flut von Website-Hacks” sowie die böswilligen Nutzlasten, die an die Opfer geliefert werden. Der Bericht enthält auch Details zu Drive-by-Downloads, ihren aktuellen Status in den wichtigsten Browsern, und wie sie in Zukunft angegangen werden.
Malvertising ist mehr als man denkt
Die Forscher untersuchen auch Werbekampagnen, mit dem Ziel zu bieten “eine viel breitere Landschaft, die über das hinausgeht, was nur im Anzeigenfenster passiert“. Mit anderen Worten, Malvertising ist mehr als böswillige Werbung. Medienkäufe können eine bevorzugte Option für einen Einstiegspunkt sein, Sie sind jedoch nicht die einzige verfügbare Option.
Wie ist der aktuelle Stand von Malvertising und Drive-by-Downloads??
In einer typischen Werbekette, Es gibt mehrere Übergaben, ähnlich einer traditionellen CPA-Kampagne mit Ad-Tech-Technologie. Mit Malware, Es kommt einfach so vor, dass die letzten Phasen der Übergabe unter skizzenhaften Zwischenhändlern stattfinden, die das Opfer auf eine böswillige Zielseite ziehen, Zuversichtlich erklärt.
Die Forscher untersuchten einen böswilligen Vorfall, der im Januar mit der Android-App-Version von BoingBoing passiert war, genau 2020, wenn böswillige Überlagerungen auf der Website entdeckt wurden. Ursprünglich als "schlechte Werbung" angesehen, Der gleiche Angriff wurde später auch auf anderen Websites festgestellt:
In den folgenden Wochen, Wir haben diesen Angriff auf eine Vielzahl von Websites festgestellt. Normalerweise manifestiert sich dies in einem CMS-Kompromiss, der diese schädliche Nutzlast einführt.
Mit anderen Worten, Es stellte sich heraus, dass die angebliche Werbekampagne nicht mit Malvertisinf zusammenhängt. Tatsächlich, Das CMS von BoingBoing wurde gehackt, und ein Skript wurde eingefügt, das den Besuchern die böswilligen Überlagerungen anzeigte.
Nach einigen weiteren Untersuchungen, Die Forscher stellten fest, dass die Drive-by-Downloads durch in die Seite eingebettetes JavaScript initiiert wurden. Dieses Skript erstellt einen Link auf der Seite und klickt auf einen Link, ohne die Notwendigkeit der Interaktion mit dem Benutzer, Dadurch wird der Download initiiert.
Dann erschien eine Frage: obwohl der BoingBoing-Angriff keine Werbung war, könnte ein ähnliches Szenario über Malvertising und Sandbox-Iframes auftreten?
Die meisten Anzeigen basieren auf Iframes mit Sandbox, um eine Anzeige auf einer Webseite einzubetten. Da Anzeigen in der Regel von Dritten kontrolliert werden, Die Iframes werden normalerweise beim Sandboxing verwendet, um die Sicherheit zu verbessern und Aktionen seitens Dritter einzuschränken.
Wie geht es den Browsern??
Um zu überprüfen, ob das schädliche Skript zu einem Drive-by-Download eines APK in Sandbox-Cross-Origin-Iframes führen würde, Die Forscher erstellten eine Proof-of-Concept-Seite mit der Idee, mehrere Browser zu testen.
Die Inspiration für diese Analyse war die schockierende Entdeckung, dass die meisten Browser erzwungene Downloads von Cross-Origin-Frames berücksichtigen. Tatsächlich, Solche erzwungenen Downloads sind in Sandboxed Cross-Origin-Iframes häufig noch möglich, wurde nur in Chrome für diese letzte Version von Chrome angesprochen 83, der Bericht erklärt.
Jedoch, Mit Mozilla Firefox sieht es nicht so gut aus, da dieser Browser das Herunterladen in Cross-Origin-Iframes nicht verhindert, Dies führt dazu, dass der Benutzer aufgefordert wird, die Datei herunterzuladen. Ein ähnliches Bild wurde im Brave-Browser angezeigt. Wie für Safari, aus irgendeinem Grund der Browser “möchte den Download ehren, scheint aber einfach stecken zu bleiben” ohne es zu beenden.
Mobile Browser zeigten inkonsistentes Verhalten:
Beispielsweise, Android-Browser warnen Sie schnell, wenn der Download eine Datei mit einer APK-Erweiterung ist, Aber alles andere wird oft nicht einmal gefragt.
Wie im Bericht ausgeführt, Es ist ziemlich überraschend, dass wir heute immer noch Downloads erzwingen können, die nicht vom Benutzer initiiert wurden., ohne Aufforderung von Cross-Origin-Iframes in den meisten gängigen Browsern. Die Frage warum bleibt immer noch unbeantwortet.
Vor einigen Jahren, eine große Werbekampagne Confiant hat festgestellt, dass ganze Ad-Server übernommen wurden, um schädliche Anzeigen in ihre Anzeigeninventare einzufügen. Die böswilligen Anzeigen leiten ahnungslose Benutzer auf Websites weiter, auf denen Malware installiert ist, die normalerweise als Adobe Flash Player-Updates getarnt ist. Die Kampagne hatte mindestens neun Monate gedauert.