マルバタイジングとドライブバイダウンロードの現状

新しいConfiantレポートは “最近のウェブサイトハッキングの背後にある詳細” 被害者に配信された悪意のあるペイロードと同様に. レポートには、ドライブバイダウンロードの詳細も含まれています, 主要なブラウザでの現在の状態, そしてそれらが将来どのように扱われるか.

マルバタイジングには目に見える以上のものがあります

研究者はまた、マルバタイジングキャンペーンを調査します, したがって、提供することを目指しています “広告スロットで単に起こることを超えてはるかに広い風景“. 言い換えると, 悪意のある広告よりもマルバタイジングの方が重要です. メディア購入は、エントリポイントの優先オプションになる可能性があります, しかし、それらは利用可能な唯一のオプションではありません.

マルバタイジングとドライブバイダウンロードの現状は？?

典型的なマルバタイジングチェーン, 複数のハンドオフがあります, 従来の広告技術主導のCPAキャンペーンに似ています. マルウェアを使用, ハンドオフの後半は、犠牲者を悪意のあるランディングページに引き寄せる大ざっぱな仲介者の間で発生します。, Confiantは説明します.

研究者たちは、1月にAndroidアプリバージョンのBoingBoingに発生した悪意のある事件を綿密に調査しました 2020, Webサイトで悪意のあるオーバーレイが検出されたとき. 当初は「悪い広告」事件であると考えられていました, 同じ攻撃が後で他のWebサイトでも検出されました:

次の数週間にわたって, 多数のサイトでこの攻撃を検出しました. 通常、これは、この悪意のあるペイロードを導入するCMSの侵害を通じて明らかになります.

言い換えると, 想定されるマルバタイジングキャンペーンはmalvertisinfとは関係がないことが判明しました. 実際には, BoingBoingのCMSがハッキングされました, 悪意のあるオーバーレイを訪問者に表示するスクリプトが挿入されました.

さらに調査した後, 研究者は、ドライブバイダウンロードがページに埋め込まれたJavaScriptによって開始されていることを発見しました. このスクリプトは、ページ上にリンクを作成し、リンクをクリックします, ユーザーの操作を必要とせずに, したがって、ダウンロードを開始します.

その後、質問が表示されました: BoingBoingの攻撃は悪意のあるものではありませんでしたが, マルバタイジングとサンドボックス化されたiframeを介して同様のシナリオが発生する可能性があります?

ほとんどの広告は、サンドボックス化されたiframeに依存してWebページに広告を埋め込みます. 広告は通常、サードパーティによって管理されているため, iframeは通常、セキュリティを向上させ、サードパーティ側のアクションを制限するためにサンドボックスで使用されます.

ブラウザはどうですか?

悪意のあるスクリプトがサンドボックス化されたクロスオリジンiframeでのAPKのドライブバイダウンロードにつながるかどうかを確認するには, 研究者は、いくつかのブラウザをテストするというアイデアで概念実証ページを作成しました.

この分析を行うためのインスピレーションは、ほとんどのブラウザがクロスオリジンフレームからの強制ダウンロードを尊重するという衝撃的な発見でした。. 実際には, このような強制ダウンロードは、サンドボックス化されたクロスオリジンiframeでも引き続き可能です。, Chromeのこの最後のリリースではChromeでのみ対処されています 83, レポートは説明しました.

でも, MozillaFirefoxでは物事はそれほど良くありません, このブラウザはクロスオリジンiframeでのダウンロードを妨げないため, これにより、ユーザーはファイルをダウンロードするように求められます. 同様の画像がBraveブラウザで見られました. Safariも, 何らかの理由でブラウザ “ダウンロードを尊重したい, でも行き詰まっているようです” それを終えることさえせずに.

モバイルブラウザが一貫性のない動作を示した:

例えば, ダウンロードがAPK拡張子のファイルである場合、Androidブラウザはすぐに警告します, しかし、他のものはしばしばプロンプトさえもらえません.

レポートで指摘されているように, ユーザーが開始しなくても強制的にダウンロードできるというのは驚くべきことです。, ほとんどの主要なブラウザでクロスオリジンiframeからのプロンプトなし. なぜまだ答えられていないのかという質問.

---

数年前, 大規模なマルバタイジングキャンペーン 悪意のある広告を広告枠に挿入するために広告サーバー全体を乗っ取っているものがConfiantによって発見されました. 悪意のある広告は、疑いを持たないユーザーを、AdobeFlashPlayerのアップデートになりすましたマルウェアに乗ったサイトにリダイレクトします。. キャンペーンは少なくとも9ヶ月間続いていました.