گروه نفوذ eGobbler که با پویشهای تبلیغافزاری گسترده در اوایل سال جاری شروع به کار کرده، درحالحاضر یک پویش جدید به راه انداخته است که از دو آسیبپذیری مرورگر برای نمایش تبلیغات پاپآپ مزاحم و هدایت کاربران به وبگاههای مخرب بهرهبرداری میکند.
لازم به ذکر است که نفوذگران هیچ روشی برای اجرای رایگان تبلیغات پیدا نکردهاند، در عوض مهاجمان eGobbler بودجهی زیادی برای نمایش میلیاردها آگهی تبلیغاتی در وبگاههای برجسته از طریق شبکههای تبلیغاتی قانونی لازم دارند. اما به جای تکیه بر تعامل هدفمند بازدیدکنندگان با تبلیغات بهصورت آنلاین، eGobbler از بهرهبرداریهای مرورگرهای کروم و سافاری استفاده میکند تا به حداکثر نرخ کلیک دست یابد و با موفقیت بیشترین تعداد نشست کاربر را به سرقت ببرد.
گروه eGobbler در پویش تبلیغافزاری قبلی خود در ماه آوریل از یک آسیبپذیری روز-صفرم (CVE-2019-5840) در کروم مخصوص iOS بهرهبرداری میکرد که به آنها این امکان را میدهد تا با موفقیت مسدودکنندهی پاپآپ داخلی مرورگر در دستگاههای iOS را دور بزند و نشستهای ۵۰۰ میلیون کاربر تلفن همراه را به سرقت ببرد.
بااینحال، طبق آخرین گزارش منتشرشده توسط شرکت امنیتی Confiant، عاملان تهدید eGobbler بهتازگی یک آسیبپذیری جدید در WebKit، موتور مرورگر استفادهشده توسط مرورگر سافاری اپل برای iOS و macOS، کروم برای iOS و نسخههای جدید کروم برای دسکتاپ کشف و از آن بهرهبرداری کردهاند. بهرهبرداری WebKit جدید بسیار جالبتر است، زیرا نیازی به کلیک کاربران روی اخبار، وبلاگها یا وبگاههای آموزندهای که درحال بازدید از آنها هستند، ندارد.
در عوض تبلیغات نمایشی حمایتشده توسط eGobbler از بهرهبرداری WebKit برای هدایت بازدیدکنندگان به وبگاههای میزبان طرحهای کلاهبرداری یا بدافزار به محض فشار دادن کلید key down یا کلید page down در صفحه کلید استفاده میکند.
این امر به این دلیل است که آسیبپذیری WebKit در یک تابع جاوااسکریپت وجود دارد که رویداد onkeydown را فراخوانی میکند که هر بار یک کاربر یک کلید از صفحه کلید را فشار میدهد، رخ می دهد و این امکان را میدهد که تبلیغات نمایش داده شده در داخل آیفریمها محافظتهای جعبهی شنی امنیتی را نقض کنند. پژوهشگران در آخرین گزارش خود بیان کردند که این بار پاپآپ iOS Chrome مانند قبل نمایش داده نمیشدند اما هدایت به مرورگرهای Webkit در رویداد onkeydown مشاهده میشد.
ماهیت این اشکال این است که یک آیفریم تودرتوی cross-origion قادر به autofocus است که دستورالعمل «allow-top-navigation-by-user-activation» جعبهی شنی در فریم والد را دور میزند. اگرچه دستورالعملهای فروشگاه برنامهی اپل همهی برنامههای iOS با قابلیت مرور وب را محدود میکند تا از چارچوب WebKit خود ازجمله گوگل کروم برای iOS استفاده کند، به احتمال کم کاربران تلفن همراه تحت تأثیر آسیبپذیری تغییر مسیر قرار گرفتهاند، زیرا رویداد onkeydown در سیستم عامل تلفن همراه کار نمیکند.
بااینحال، بار دادهی eGobbler اغلب از طریق خدمات CDN محبوب توزیع میشود که شامل کدهایی برای تغییر مسیر است که زمانی اجرا میشود که بازدیدکنندگان یک برنامهی تحت وب هدف تلاش میکنند تا چیزی را در یک عنصر متنی یا فرمهای جستجو وارد کنند تا شانس سرقت اطلاعات فشرده شدن کلیدها را به حداکثر برسانند. همانطور که پژوهشگران معتقدند این بهرهبرداری در افزایش تأثیر این حمله مهم بوده است. از تاریخ ۱ آگوست تا ۲۳ سپتامبر، عاملان تهدید از کد مخرب خود برای حجم انبوهی از تبلیغات استفاده کردهاند.
بااینکه پویش تبلیغافزاری قبلی eGobbler در ابتدا کاربران iOS در امریکا را هدف قرار داده بود، آخرین حمله کاربران کشورهای اروپایی را هدف قرار داد که بیشتر آنها ایتالیایی بودند. Confiant بهطور خصوصی آسیبپذیری WebKit را به گروههای امنیتی گوگل و اپل گزارش داد. اپل این آسیبپذیری را با انتشار iOS 13 در ۱۹ سپتامبر و مرورگر سافاری ۱۳٫۰٫۱ در ۲۴ سپتامبر وصله کرد، درحالیکه گوگل هنوز آن را در کروم رفع نکرده است.
