“А reeks ongebreidelde malvertising campagnes“Targeting iOS-gebruikers zijn gedetecteerd. De campagnes gericht zowel de Amerikaanse als de Europese uitgevers, respectievelijk gebruikers.
Volgens Confiant security onderzoekers de kwaadaardige activiteiten afkomstig zijn van een bekende bedreiging acteur genaamd eGobbler die zijn naam verdiend te wijten aan de grote hoeveelheden hits die hun campagnes te genereren.
De hacker groep heeft de neiging om “opvoeren van hun koopgedrag rond feestdagen en in het weekend". Meestal hun campagnes piek in volume over een periode van 36-48 uur voordat ze in een staat van winterslaap totdat de volgende grote duw, aldus de onderzoekers.
eGobbler Malvertising Campagnes In Detail
De meest recente golf van aanvallen wordt geassocieerd met het gebruik van de “.world” TLD voor de landing pages. Het volume van aanslagen is verdeeld in 8 de afzonderlijke campagnes en meer dan 30 fake creatives (landing pages). De duur van de campagne is 6 dagen, begint op zaterdag, 6 april. Slachtoffers zijn gevestigd in de VS en Europa.
Volgens het rapport:
De nep-advertentiecampagnes zich had levensduur in de 24-48 uur range, die gebruikelijk is bij eGobbler. Wij schatten dat meer dan 500MM gebruikerssessies zijn blootgesteld begin zaterdag, 6 april. Hoewel eGobbler is onlangs te zien op een groot aantal buy-side platforms, deze hele campagne liep op één de hele tijd.
De eGobbler bedreiging acteur is op zoek naar legitieme ad servers evenals een aantal buy-side platforms compromis. De hackers gebruikt verhulde tussenproduct CDN domeinen hun infectie chain. In hun poging te leggen laag, de hackers ook geprobeerd om “smokkelen” hun payloads in bekende client-side JavaScript-bibliotheken, zoals GreenSock.
Het 8 individuele campagnes die tijdens de grote storm volgende april werden geïntroduceerd 6 werden gespreid door nieuwe exemplaren verschijnen ongeveer elke twee dagen. Elke campagne had zijn eigen targeting, en zijn eigen levensduur, ontdekten de onderzoekers.
Tijdens hun analyse die opgenomen reverse engineering van de payload, ontdekten de onderzoekers technieken die leveraged “iOS Chrome detectie rond de gebruiker te activeren pop-up detectie, wat resulteert in het omzeilen van pop-up blokkering“. Wat betekent dit? main De payload's het kapen van sessies mechanisme werd pop-up op basis van. Met andere woorden, het bleek dat “Chrome voor iOS was een uitschieter in dat de ingebouwde pop-up blocker niet consequent“. De onderzoekers gaan een analyse van de lading en een proof-of-concept bieden exploiteren voor de kwetsbaarheid in Chrome op iOS in de nabije toekomst, als de campagne is nog steeds actief en de bug is ongepatchte.
Het goede nieuws is dat Chrome team is in kennis gesteld van de bug ongeveer een week geleden, en onderzoekt momenteel.
De algemene indruk van deze uitgebreide malvertising campagne is dat de dreiging acteurs deden hun best. Vergeleken met andere dergelijke campagnes, deze was uniek in zowel payloads en volumes. Het is opmerkelijk dat de campagne zag een strategische spil in april 14 naar een ander platform en blijft actief onder “.site” TLD landing pages te zijn.
"Met een half miljard gebruikers sessies beïnvloed, Dit behoort tot de top drie massieve malvertising campagnes die we hebben gezien in de laatste 18 maanden", concludeerden de onderzoekers.
RoughTed is een ander voorbeeld van een zeer succesvol malvertising campagne die werd ontdekt in 2017. RoughTed was een grootschalige malvertising campagne die in hetzelfde jaar een piek zag maart. Zowel Windows als Mac-besturingssystemen waren gericht, evenals iOS en Android. De operatie was vrij zeldzaam in zijn volledigheid, een verscheidenheid van kwaadaardige benaderingen van exploit kits tot online oplichting te hebben gebruikt, zoals nep-tech support oplichting, nep-updates, rogue browserextensies.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: