Qual è lo stato di malvertising e download drive-by in 2020?
Un nuovo rapporto Confiant esplora “i dettagli dietro una recente ondata di hack del sito web” così come i payload dannosi consegnati alle vittime. Il rapporto include anche dettagli sui download drive-by, il loro stato attuale nei principali browser, e come verranno affrontati in futuro.
C'è di più nel malvertising di quanto sembri
I ricercatori esaminano anche campagne di malvertising, con l'obiettivo di fornire “un panorama molto più ampio oltre ciò che accade semplicemente nell'area annuncio“. In altre parole, c'è di più nel malvertising di annunci dannosi. L'acquisto di supporti può essere un'opzione preferita per un punto di ingresso, ma non sono l'unica opzione disponibile.
In una tipica catena di malvertising, ci sono più handoff, simile a una tradizionale campagna CPA basata sulla tecnologia pubblicitaria. Con malware, succede solo che queste ultime fasi della mano avvengano tra mediatori imprecisi che portano la vittima a una landing page maliziosa, Fiducioso spiega.
I ricercatori hanno ispezionato da vicino un incidente dannoso che è accaduto alla versione dell'app BoingBoing per Android a gennaio 2020, quando sono stati rilevati overlay dannosi sul sito Web. Inizialmente creduto di essere un incidente di "cattiva pubblicità", lo stesso attacco è stato successivamente rilevato anche su altri siti Web:
Nelle settimane successive, abbiamo rilevato questo attacco su una moltitudine di siti. Di solito questo si manifesta attraverso un compromesso CMS che introduce questo payload dannoso.
In altre parole, si è scoperto che la presunta campagna di malvertising non è correlata a malvertisinf. Infatti, Il CMS di BoingBoing è stato violato, ed è stato iniettato uno script che mostrava gli overlay dannosi ai visitatori.
Dopo qualche ulteriore indagine, i ricercatori hanno scoperto che i drive-by-download erano stati avviati da JavaScript incorporato nella pagina. Questo script creerebbe un collegamento sulla pagina e fare clic su un collegamento, senza la necessità di interazione con l'utente, iniziando così il download.
Apparve quindi una domanda: anche se l'attacco BoingBoing non si stava malvertendo, potrebbe accadere uno scenario simile tramite iframe malvertising e sandbox?
La maggior parte degli annunci si basa su iframe in modalità sandbox per incorporare un annuncio in una pagina Web. Poiché gli annunci sono generalmente controllati da terze parti, gli iframe vengono generalmente utilizzati con sandboxing per migliorare la sicurezza e limitare le azioni da parte di terzi.
Come stanno i browser?
Per verificare se lo script dannoso porterebbe a un drive-by-download di un APK in iframe di origine incrociata sandbox, i ricercatori hanno creato una pagina di prova del concetto con l'idea di testare diversi browser.
L'ispirazione per fare questa analisi è stata la scoperta scioccante che la maggior parte dei browser onorerà i download forzati dai frame di origine incrociata. Infatti, download forzati come questo sono ancora spesso possibili negli iframe Sandboxed Cross-Origin, essendo stato indirizzato in Chrome solo per quest'ultima versione di Chrome 83, il rapporto ha spiegato.
Tuttavia, le cose non vanno bene con Mozilla Firefox, poiché questo browser non impedisce download in iframe con origini incrociate, che porta alla richiesta all'utente di scaricare il file. Un'immagine simile è stata vista nel browser Brave. Come per Safari, per qualche motivo il browser “vuole onorare il download, ma sembra bloccarsi” senza nemmeno finirlo.
I browser mobili hanno mostrato comportamenti incoerenti:
Per esempio, I browser Android ti avvisano rapidamente quando il download è un file con estensione APK, ma qualsiasi altra cosa spesso non riceve nemmeno un prompt.
Come sottolineato nel rapporto, è abbastanza sorprendente che in 2020 possiamo comunque forzare il download non avviato dall'utente, senza alcun prompt da iframe di origine incrociata nella maggior parte dei browser principali. La domanda sul perché rimane ancora senza risposta.
Nel mese di aprile 2020, una grande campagna di malvertising che ha rilevato interi server di annunci per inserire annunci dannosi nei loro inventari di annunci è stato scoperto da Confiant. Gli annunci dannosi reindirizzerebbero gli utenti ignari a siti gestiti da malware in genere mascherati da aggiornamenti di Adobe Flash Player. La campagna durava da almeno nove mesi.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: