Qual é o estado de malvertising e downloads drive-by em 2020?
Um novo relatório Confiant explora “os detalhes por trás de uma recente onda de hackers em sites” bem como as cargas maliciosas entregues às vítimas. O relatório também inclui detalhes sobre downloads drive-by, seu estado atual nos principais navegadores, e como eles serão abordados no futuro.
A publicidade maliciosa é mais do que aparenta
Os pesquisadores também analisam campanhas de malvertising, com o objetivo de fornecer “um cenário muito mais amplo além do que simplesmente acontece no espaço de anúncio“. Em outras palavras, há mais publicidade maliciosa do que anúncios maliciosos. A compra de mídia pode ser uma opção preferida para um ponto de entrada, mas eles não são a única opção disponível.
Em uma cadeia típica de publicidade maliciosa, existem várias transferências, semelhante a uma campanha tradicional de CPA baseada em tecnologia de anúncios. Com malware, acontece que os últimos estágios da transferência acontecem entre intermediários esboçados que levam a vítima a uma página de destino mal-intencionada, Confiante explica.
Os pesquisadores inspecionaram de perto um incidente malicioso que aconteceu com a versão do BoingBoing para Android, em janeiro 2020, quando sobreposições maliciosas foram detectadas no site. Inicialmente considerado um incidente de "anúncio ruim", o mesmo ataque foi detectado posteriormente em outros sites também:
Nas semanas seguintes, detectamos esse ataque em vários sites. Normalmente, isso se manifesta através de um compromisso do CMS que introduz essa carga maliciosa.
Em outras palavras, descobriu-se que a suposta campanha de malvertising não está relacionada ao malvertisinf. De fato, O CMS de BoingBoing foi hackeado, e foi injetado um script que exibia sobreposições maliciosas para os visitantes.
Após alguma investigação adicional, os pesquisadores descobriram que o drive-by-downloads estava sendo iniciado por JavaScript incorporado na página. Este script criaria um link na página e clique em um link, sem a necessidade de interação do usuário, iniciando assim o download.
Uma pergunta então apareceu: mesmo que o ataque do BoingBoing não tenha sido propaganda enganosa, poderia acontecer um cenário semelhante por meio de malvertising e iframes em área restrita?
A maioria dos anúncios depende de iframes em área restrita para incorporar um anúncio a uma página da web. Como os anúncios geralmente são controlados por terceiros, os iframes geralmente são utilizados com o sandbox para melhorar a segurança e restringir ações por parte de terceiros.
Como estão os navegadores?
Para verificar se o script malicioso levaria a um download drive-by-APK de iframes de origem cruzada em área restrita, os pesquisadores criaram uma página de prova de conceito com a ideia de testar vários navegadores.
A inspiração para fazer essa análise foi a descoberta chocante de que a maioria dos navegadores respeitará downloads forçados de quadros de origem cruzada. De fato, downloads forçados como esse ainda são frequentemente possíveis em iframes de origem cruzada em área restrita, tendo sido abordado apenas no Chrome para esta última versão do Chrome 83, o relatório explicou.
Contudo, as coisas não são tão boas com o Mozilla Firefox, pois este navegador não impede downloads em iframes de origem cruzada, o que leva o usuário a ser solicitado a baixar o arquivo. Uma imagem semelhante foi vista no navegador Brave. Quanto ao Safari, por alguma razão o navegador “quer honrar o download, mas parece apenas ficar preso” sem nem terminar.
Navegadores móveis exibiram comportamento inconsistente:
Por exemplo, Os navegadores Android avisam rapidamente quando o download é um arquivo com uma extensão APK, mas qualquer outra coisa nem sequer recebe um aviso.
Como apontado no relatório, é bastante surpreendente que em 2020 ainda podemos forçar o download não iniciado pelo usuário, sem nenhum prompt de iframes de origem cruzada na maioria dos principais navegadores. A pergunta por que ainda permanece sem resposta.
Em abril 2020, uma grande campanha de malvertising que assumiu servidores de anúncios inteiros para inserir anúncios maliciosos em seus inventários de anúncios, foi descoberta pela Confiant. Os anúncios maliciosos redirecionariam usuários desavisados para sites repletos de malware normalmente mascarados à medida que o Adobe Flash Player atualiza. A campanha já estava em andamento há pelo menos nove meses.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: