malvertising campagnes (afkorting voor kwaadaardige advertenties) kan een verscheidenheid aan kwaadaardige ladingen met zich meebrengen door misbruik te maken van verschillende kwetsbaarheden.
De laatste malvertising-campagne gecoördineerd door de ScamClub-groep maakte gebruik van een zero-day in op WebKit gebaseerde browsers. Het uiteindelijke doel van de operatie was om kwaadaardige ladingen te injecteren die gebruikers omleiden naar sites die zijn ontworpen voor oplichting met cadeaubonnen.
ScamClub Malvertising en CVE-2021-1801
De malvertising-campagne, voor het eerst waargenomen door Confiant in juni vorig jaar, misbruik gemaakt van de kritieke kwetsbaarheid van CVE-2021-1801. Volgens de officiële informatie, de kwetsbaarheid werd voor het eerst ontdekt in Apple macOS tot 11.1 door onderzoeker Eliya Stein van Confiant.
Het advies van Apple zegt dat de fout van invloed is op het iframe-sandbox-beleid door kwaadwillig vervaardigde webinhoud te gebruiken. "Dit probleem is verholpen door een verbeterde handhaving van de iframe-sandbox,'Zei het advies. Met andere woorden, door de kwetsbaarheid konden bedreigingsactoren het iframe-sandboxingbeleid omzeilen de WebKit-browsermotor die Safari en Google Chrome aandrijft.
“Al zeker een aantal jaren actief, ScamClub-malvertenties worden voornamelijk gedefinieerd door gedwongen omleidingen naar oplichting die prijzen aanbieden aan "gelukkige" gebruikers, zoals het maar al te alomtegenwoordige "Je hebt een Walmart-cadeaubon gewonnen!'Of' Je hebt een iPhone gewonnen!”Bestemmingspagina's,'Zei Confiant in hun rapport.
Zoals zichtbaar door de screenshots die Confiant heeft gedeeld, de trucs die door de ScamClub-groep worden gebruikt, zijn bekend en worden veel gebruikt door verschillende oplichters. Misschien bent u soortgelijke opdringerige pop-ups tegengekomen tijdens het online browsen. Bijvoorbeeld, een populaire benadering die door oplichters wordt gebruikt, is het gebruik van de namen van populaire merken zoals Amazon ("Gefeliciteerd Geachte Amazon-klant”Pop-ups).
We hebben verschillende soorten oplichting behandeld die gebruikmaken van de cadeaubonaanpak, zoals:
In termen van de technieken die ScamClub heeft toegepast, de aanvallers vertrouwden op de zogenaamde "bombardementstrategie":
In plaats van te proberen onder de radar te vliegen, ze overspoelen het ecosysteem van advertentietechnologie met tonnen afschuwelijke vraag en beseffen goed dat het merendeel ervan zal worden geblokkeerd door een soort poortwachter, maar ze doen dit met ongelooflijk hoge volumes in de hoop dat het kleine percentage dat erdoor glijdt aanzienlijke schade zal aanrichten.
Meer technische details zijn beschikbaar in het origineel Zelfverzekerd rapport.