بیش از یک میلیارد آگهی تبلیغاتی مخرب از آسیب‌پذیری WebKit برای هدف قرار دادن کاربران اپل بهره‌برداری می‌کنند

گروه نفوذ eGobbler که با پویش‌های تبلیغ‌افزاری گسترده در اوایل سال جاری شروع به کار کرده، درحال‌حاضر یک پویش جدید به راه انداخته است که از دو آسیب‌پذیری مرورگر برای نمایش تبلیغات پاپ‌آپ مزاحم و هدایت کاربران به وب‌گاه‌های مخرب بهره‌برداری می‌کند.

لازم به ذکر است که نفوذگران هیچ روشی برای اجرای رایگان تبلیغات پیدا نکرده‌اند، در عوض مهاجمان eGobbler بودجه‌ی زیادی برای نمایش میلیاردها آگهی تبلیغاتی در وب‌گاه‌های برجسته از طریق شبکه‌های تبلیغاتی قانونی لازم دارند. اما به جای تکیه بر تعامل هدفمند بازدیدکنندگان با تبلیغات به‌صورت آنلاین، eGobbler از بهره‌برداری‌های مرورگرهای کروم و سافاری استفاده می‌کند تا به حداکثر نرخ کلیک دست یابد و با موفقیت بیشترین تعداد نشست کاربر را به سرقت ببرد.

گروه eGobbler در پویش تبلیغ‌افزاری قبلی خود در ماه آوریل از یک آسیب‌پذیری روز-صفرم (CVE-2019-5840) در کروم مخصوص iOS بهره‌برداری می‌کرد که به آن‌ها این امکان را می‌دهد تا با موفقیت مسدودکننده‌ی پاپ‌آپ داخلی مرورگر در دستگاه‌های iOS را دور بزند و نشست‌های ۵۰۰ میلیون کاربر تلفن همراه را به سرقت ببرد.

بااین‌حال، طبق آخرین گزارش منتشرشده توسط شرکت امنیتی Confiant، عاملان تهدید eGobbler به‌تازگی یک آسیب‌پذیری جدید در WebKit، موتور مرورگر استفاده‌شده توسط مرورگر سافاری اپل برای iOS و macOS، کروم برای iOS و نسخه‌های جدید کروم برای دسک‌تاپ کشف و از آن بهره‌برداری کرده‌اند. بهره‌برداری WebKit جدید بسیار جالب‌تر است، زیرا نیازی به کلیک کاربران روی اخبار، وبلاگ‌ها یا وب‌گاه‌های آموزنده‌ای که درحال بازدید از آن‌ها هستند، ندارد.

در عوض تبلیغات نمایشی حمایت‌شده توسط eGobbler از بهره‌برداری WebKit برای هدایت بازدیدکنندگان به وب‌گاه‌های میزبان طرح‌های کلاه‌برداری یا بدافزار به محض فشار دادن کلید key down یا کلید page down در صفحه کلید استفاده می‌کند.

این امر به این دلیل است که آسیب‌پذیری WebKit در یک تابع جاوااسکریپت وجود دارد که رویداد onkeydown را فراخوانی می‌کند که هر بار یک کاربر یک کلید از صفحه کلید را فشار می‌دهد، رخ می دهد و این امکان را می‌دهد که تبلیغات نمایش‌ داده شده در داخل آی‌فریم‌ها محافظت‌های جعبه‌ی شنی امنیتی را نقض کنند. پژوهش‌گران در آخرین گزارش خود بیان کردند که این بار پاپ‌آپ iOS Chrome مانند قبل نمایش داده نمی‌شدند اما هدایت به مرورگرهای Webkit در رویداد onkeydown مشاهده می‌شد.

ماهیت این اشکال این است که یک آی‌فریم تودرتوی cross-origion قادر به autofocus است که دستورالعمل «allow-top-navigation-by-user-activation» جعبه‌ی شنی در فریم والد را دور می‌زند. اگرچه دستورالعمل‌های فروشگاه برنامه‌ی اپل همه‌ی برنامه‌های iOS با قابلیت مرور وب را محدود می‌کند تا از چارچوب WebKit خود ازجمله گوگل کروم برای iOS استفاده کند، به احتمال کم کاربران تلفن همراه تحت تأثیر آسیب‌پذیری تغییر مسیر قرار گرفته‌اند، زیرا رویداد onkeydown در سیستم عامل تلفن همراه کار نمی‌کند.

بااین‌حال، بار داده‌ی eGobbler اغلب از طریق خدمات CDN محبوب توزیع می‌شود که شامل کدهایی برای تغییر مسیر است که زمانی اجرا می‌شود که بازدیدکنندگان یک برنامه‌ی تحت وب هدف تلاش می‌کنند تا چیزی را در یک عنصر متنی یا فرم‌های جستجو وارد کنند تا شانس سرقت اطلاعات فشرده شدن کلیدها را به حداکثر برسانند. همان‌طور که پژوهش‌گران معتقدند این بهره‌برداری در افزایش تأثیر این حمله مهم بوده است. از تاریخ ۱ آگوست تا ۲۳ سپتامبر، عاملان تهدید از کد مخرب خود برای حجم انبوهی از تبلیغات استفاده کرده‌اند.

بااین‌که پویش تبلیغ‌افزاری قبلی eGobbler در ابتدا کاربران iOS در امریکا را هدف قرار داده بود، آخرین حمله کاربران کشورهای اروپایی را هدف قرار داد که بیشتر آن‌ها ایتالیایی بودند. Confiant به‌طور خصوصی آسیب‌پذیری WebKit را به گروه‌های امنیتی گوگل و اپل گزارش داد. اپل این آسیب‌پذیری را با انتشار iOS 13 در ۱۹ سپتامبر و مرورگر سافاری ۱۳٫۰٫۱ در ۲۴ سپتامبر وصله کرد، درحالی‌که گوگل هنوز آن را در کروم رفع نکرده است.

منبع

Related posts

Leave a Comment

3 × 5 =