“Uma série de campanhas de malvertising galopantes“A segmentação de usuários iOS foi detectada. As campanhas segmentadas ambos os editores norte-americanos e europeus, e respectivamente usuários.
De acordo com pesquisadores de segurança do Confiant, as atividades maliciosas vêm de um conhecido ator de ameaças chamado eGobbler, que ganhou seu nome devido ao grande volume de acessos que suas campanhas geram.
O grupo de hackers tende a “aumentar suas compras em feriados e fins de semana”. Normalmente, suas campanhas atingem o pico de volume em um período de 36 a 48 horas antes de entrar em um estado de hibernação até o próximo grande impulso, os pesquisadores disseram.
eGobbler Malvertising Campanhas em detalhes
A última onda de ataques está associada ao uso do TLD “.world” para as páginas de destino. O volume de ataques é dividido em 8 campanhas individuais e mais de 30 criativos falsos (páginas de destino). A duração da campanha é 6 dias, começando no sábado, 6 de abril. As vítimas estão localizadas nos EUA e na Europa.
De acordo com o relatório:
As próprias campanhas publicitárias falsas tinham expectativa de vida na faixa de 24 a 48 horas, o que é comum com eGobbler. Estimamos que mais de 500 milhões de sessões de usuário foram expostas a partir de sábado, 6 de abril. Embora o eGobbler tenha sido visto recentemente em muitas plataformas de compra, toda esta campanha foi executada em apenas uma o tempo todo.
O ator da ameaça eGobbler está procurando comprometer servidores de anúncios legítimos, bem como algumas plataformas de compra. Os hackers utilizaram domínios CDN intermediários encobertos para sua cadeia de infecção. Em sua tentativa de se esconder, os hackers também tentaram "contrabandear" suas cargas em bibliotecas JavaScript bem conhecidas do lado do cliente, como GreenSock.
o 8 campanhas individuais que foram introduzidas durante a grande tempestade após abril 6 foram escalonados com novos aparecendo aproximadamente a cada dois dias. Cada campanha teve sua própria segmentação, e sua própria vida, os pesquisadores descobriram.
Durante a análise, que incluiu engenharia reversa da carga útil, os pesquisadores descobriram técnicas que alavancaram “Detecção do iOS Chrome em torno da detecção de pop-up ativada pelo usuário, resultando na evasão do bloqueio de pop-up“. O que isto significa? A carga útil principal mecanismo de sequestro de sessão foi baseado em pop-up. Em outras palavras, descobriu-se que “O Chrome no iOS foi um caso atípico, pois o bloqueador de pop-up embutido falhou consistentemente“. Os pesquisadores fornecerão uma análise da carga útil e uma exploração de prova de conceito para a vulnerabilidade no Chrome no iOS em um futuro próximo, pois a campanha ainda está ativa e o bug não foi corrigido.
A boa notícia é que a equipe do Chrome foi notificada sobre o bug há cerca de uma semana, e atualmente está investigando.
A impressão geral desta extensa campanha de malvertising é que os atores da ameaça deram o seu melhor. Em comparação com outras campanhas semelhantes, este era único em cargas úteis e volumes. Vale ressaltar que a campanha teve um pivô estratégico em abril 14 para outra plataforma e continua ativo nas páginas iniciais do TLD “.site”.
“Com meio bilhão de sessões de usuário impactadas, esta está entre as três principais campanhas massivas de malvertising que vimos nos últimos 18 meses”, os pesquisadores concluíram.
RoughTed é outro exemplo de campanha de malvertising bastante bem-sucedida que foi detectada em 2017. RoughTed foi uma campanha de malvertising em grande escala que teve um pico em março do mesmo ano. Ambos os sistemas operacionais Windows e Mac foram alvo, bem como iOS e Android. A operação foi bastante raro em sua abrangência, ter usado uma variedade de abordagens maliciosos de explorar kits para scams online, como golpes de apoio falso tecnologia, atualizações falsas, extensões do navegador desonestos.