Een nieuw Confiant-rapport verkent “de details achter een recente reeks website-hacks” evenals de kwaadaardige ladingen die aan de slachtoffers worden geleverd. Het rapport bevat ook details over drive-by downloads, hun huidige status in de belangrijkste browsers, en hoe ze in de toekomst zullen worden aangepakt.
Malvertising is meer dan op het eerste gezicht lijkt
De onderzoekers kijken ook naar malvertisingcampagnes, dus gericht op het bieden “een veel breder landschap dan wat er alleen in de advertentieruimte gebeurt“. Met andere woorden, malvertising is meer dan kwaadaardige advertenties. Media-aankopen kunnen een voorkeursoptie zijn voor een toegangspunt, maar ze zijn niet de enige beschikbare optie.
Wat is de huidige stand van zaken op het gebied van malvertising en drive-by downloads?
In een typische malvertisingketen, er zijn meerdere overdrachten, vergelijkbaar met een traditionele, door advertentietechnologie aangedreven CPA-campagne. Met malware, het gebeurt gewoon dat de laatste fasen van de overdracht plaatsvinden tussen vage tussenpersonen die het slachtoffer naar een kwaadaardige bestemmingspagina trekken, Zelfverzekerd legt uit.
De onderzoekers hebben een kwaadaardig incident van de Android-app-versie van BoingBoing in januari nauwlettend gevolgd 2020, wanneer kwaadaardige overlays op de website werden gedetecteerd. Aanvankelijk werd aangenomen dat het een 'slechte advertentie'-incident was, dezelfde aanval werd later ook op andere websites gedetecteerd:
In de komende weken, we hebben deze aanval op een groot aantal sites gedetecteerd. Meestal manifesteert dit zich door een CMS-compromis dat deze schadelijke payload introduceert.
Met andere woorden, het bleek dat de vermeende malvertisingcampagne geen verband houdt met malvertisinf. In feite, Het CMS van BoingBoing is gehackt, en er werd een script geïnjecteerd dat de kwaadaardige overlays aan bezoekers liet zien.
Na wat verder onderzoek, de onderzoekers ontdekten dat de drive-by-downloads werden geïnitieerd door JavaScript dat in de pagina was ingebed. Dit script zou een link op de pagina maken en op een link klikken, zonder de noodzaak van interactie met de gebruiker, dus het starten van de download.
Vervolgens verscheen er een vraag: ook al was de BoingBoing-aanval geen malvertising, kan een soortgelijk scenario gebeuren via malvertising en iframes met sandbox?
De meeste advertenties zijn afhankelijk van sandbox-iframes om een advertentie op een webpagina in te sluiten. Omdat advertenties doorgaans worden beheerd door derden, de iframes worden meestal gebruikt met sandboxing om de beveiliging te verbeteren en acties aan de kant van derden te beperken.
Hoe doen browsers het?
Om te controleren of het kwaadaardige script zou leiden tot een drive-by-download van een APK in cross-origin iframes met sandbox, de onderzoekers hebben een proof-of-concept-pagina gemaakt met het idee om verschillende browsers te testen.
De inspiratie voor het uitvoeren van deze analyse was de schokkende ontdekking dat de meeste browsers gedwongen downloads van cross-origin frames zullen respecteren. In feite, dergelijke gedwongen downloads zijn nog steeds vaak mogelijk in Sandboxed Cross-Origin iframes, alleen behandeld in Chrome voor deze laatste versie van Chrome 83, het rapport legde uit.
Echter, het gaat niet zo goed met Mozilla Firefox, aangezien deze browser downloads in cross-origin iframes niet verhindert, wat ertoe leidt dat de gebruiker wordt gevraagd om het bestand te downloaden. Een vergelijkbaar beeld werd gezien in de Brave-browser. Wat betreft Safari, om de een of andere reden de browser “wil de download eren, maar lijkt vast te lopen” zonder het zelfs af te maken.
Mobiele browsers vertoonden inconsistent gedrag:
Bijvoorbeeld, Android-browsers waarschuwen u snel wanneer de download een bestand is met een APK-extensie, maar al het andere krijgt vaak niet eens een prompt.
Zoals aangegeven in het rapport, het is nogal verrassend dat we vandaag de dag nog steeds geforceerd downloaden kunnen forceren dat niet door de gebruiker is geïnitieerd, zonder enige prompt van cross-origin iframes in de meeste grote browsers. De vraag waarom nog steeds onbeantwoord blijft.
Paar jaar geleden, een grote malvertisingcampagne die volledige advertentieservers heeft overgenomen om schadelijke advertenties in hun advertentievoorraden te plaatsen, werd ontdekt door Confiant. De kwaadaardige advertenties zouden nietsvermoedende gebruikers omleiden naar sites met malware die doorgaans worden vermomd als Adobe Flash Player-updates. De campagne liep al minstens negen maanden.