«А série de campagnes rampants publicité malveillante« Ciblant les utilisateurs d'iOS ont été détectés. Les campagnes ciblées américaines et éditeurs européens, et les utilisateurs respectivement.
Selon les chercheurs de sécurité Confiant les activités malveillantes proviennent d'un acteur de menace connue appelée eGobbler qui lui a valu son nom en raison des énormes volumes de succès que leurs campagnes génèrent.
Le groupe de pirates informatiques a tendance à «montée en puissance leurs achats autour des vacances et week-ends". En général, leurs campagnes de pointe en volume sur une période de 36-48 heures avant d'entrer dans un état d'hibernation jusqu'à la prochaine grande poussée, les chercheurs.
eGobbler En détail campagnes malveillantes liées aux
La dernière vague d'attaques est associée à l'utilisation du TLD « mondial de l'humanité » pour les pages d'atterrissage. Le volume des attaques est divisé en 8 campagnes individuelles et plus de 30 faux créatifs (pages d'atterrissage). La durée de la campagne est 6 journées, à partir du samedi, 6 avril. Les victimes sont situés à travers les États-Unis et en Europe.
Selon le rapport:
L'annonce de faux eux-mêmes Des campagnes ont des durées de vie dans la gamme 24-48 heures, qui est commun avec eGobbler. Nous estimons que plus de 500MM sessions utilisateur ont été exposés début samedi, 6 avril. Même si eGobbler a récemment été vu sur de nombreuses plateformes buy-side, cette campagne entière a couru sur un seul tout le temps.
L'acteur menace eGobbler cherche à compromettre les serveurs publicitaires légitimes ainsi que des plates-formes buy-side. Les pirates informatiques intermédiaires utilisés pour les domaines RNC masqué leur chaîne d'infection. Dans leur tentative de profil bas, les pirates ont également tenté de « passer en contrebande » leurs charges utiles dans bien connu des bibliothèques JavaScript côté client tels que GreenSock.
La 8 des campagnes individuelles qui ont été introduites au cours de la tempête suivante Avril 6 ont été décalés par de nouveaux qui apparaissent à peu près tous les deux jours. Chaque campagne a son propre ciblage, et sa propre durée de vie, les chercheurs ont découvert.
Au cours de leur analyse qui comprenait l'ingénierie inverse la charge utile, les chercheurs ont découvert des techniques mises à profit “La détection de iOS Chrome autour utilisateur a activé la détection de pop-up, entraînant le contournement du blocage des fenêtres pop-up“. Qu'est-ce que cela signifie? La principale charge utile de la mécanisme de détournement de session était basée pop-up. En d'autres termes, il est apparu que “Chrome sur iOS était un cas particulier en ce que le haut-bloqueur de pop-up a échoué systématiquement“. Les chercheurs fourniront une analyse de la charge utile et une preuve de concept pour exploiter la vulnérabilité dans Chrome sur iOS dans un proche avenir, comme la campagne est toujours active et le bug est non corrigée.
Les bonnes nouvelles sont que l'équipe de Chrome a été informé du bug il y a environ une semaine, et est actuellement enquête.
L'impression générale de cette vaste campagne de malvertising est que les acteurs de la menace fait de leur mieux. Par rapport à d'autres telles campagnes, celui-ci était unique dans les deux charges utiles et des volumes. Il est à noter que la campagne a vu un pivot stratégique Avril 14 à une autre plate-forme et continue d'être actif sous « .site » pages d'atterrissage TLD.
"Avec un demi-milliard d'utilisateurs impactés sessions, c'est parmi les trois premières campagnes massives que nous publicité malveillante avons vu dans la dernière 18 mois", les chercheurs ont conclu.
RoughTed est un autre exemple d'une campagne malvertising assez réussie qui a été détectée dans 2017. RoughTed était une campagne à grande échelle malvertising qui a vu un pic en Mars de la même année. Windows et Mac systèmes d'exploitation ont été ciblés, ainsi que iOS et Android. L'opération était assez rare dans son intégralité, ayant utilisé une variété d'approches malveillants d'exploiter des kits d'escroqueries en ligne tels que les escroqueries de support technique faux, mises à jour de faux, extensions de navigateur voyous.