ScamClub恶意组织利用WebKit Web浏览器引擎中的零日漏洞来推送重定向到礼品卡骗局的有效负载。
在过去三个月的广告系列中,每天投放的恶意广告展示次数激增至1600万。
ScamClub恶意广告商因其嘈杂的策略而臭名昭著,这些策略包括将恶意广告泛滥到广告生态系统中,希望通过的恶意广告数量减少。
即使大多数广告被阻止,其体积也是如此之大,以至于在单个广告系列中,未被检测到滑动的广告就构成了大量的恶意印象。
广告安全和质量控制公司Confiant在描述ScamClub的“轰炸策略”时说,重定向率仅提高1%,就可以在一次广告系列中转化为“成千上万的受影响印象”。
漏洞
2020年6月,Confiant在观察ScamClub活动的同时,在有效载荷的混淆代码中注意到了四行,并带有一个事件监听器,激起了研究人员的好奇心。
Confiant安全工程师兼研究员Eliya Stein在今天的博客中发现,恶意广告商依赖WebKit中的漏洞绕过了iframe沙箱策略。
研究人员进一步调查,删除了不必要的代码,并上演了一个简单的HTML文件,该文件带有跨源沙盒框架和一个用于调度事件的按钮,其中有效载荷是侦听器。
Stein指出,以上概念证明代码中的“用户激活允许的顶部导航”沙盒属性应防止任何重定向。如果没有适当的激活发生,这是有效的,在这种情况下,这意味着单击框架内部。
“这意味着我们的概念证明在任何情况下都不应该起作用。clickMe按钮毕竟在沙盒框架之外。但是,如果确实重定向,则意味着我们手上有一个浏览器安全性错误,事实证明,在基于WebKit的浏览器(即台式机和iOS上的Safari)上进行测试时会是这种情况” -Eliya Stein
尽管从理论上讲这应该可以防止恶意重定向,但研究人员进一步解释说,现代Web应用程序中带有通配符目的地的消息很常见,并且通常在用户交互时发生。
鉴于SscamClub具有广泛的针对性,并且可以推送大量恶意广告,因此其中一些仍然会漏掉并产生重大影响。以下是ScamClub的恶意广告活动中使用的域。
对此,Confiant认为ScamClub组在过去90天内的恶意展示次数超过5,000万,受影响广告的峰值每天达到1600万。
由于WebKit在iOS和Safari的Chrome浏览器中使用,因此Stein向Apple Security和Google Chrome团队提交了调查结果。 WebKit于2020年12月2日收到补丁,标识符CVE-2021-1801已分配给该漏洞。
Confiant妥协的发行指标在他们的GitHub库(国际石油公司),其中包括托管在亚马逊云中的有效载荷,并在最近ScamClub活动中使用的域。
*编译:Domino
*来自:bleepingcomputer