abe señalar que los piratas informáticos no han encontrado ninguna forma de publicar anuncios de forma gratuita; en cambio, el modus operandi de los atacantes de eGobbler implica altos presupuestos para mostrar miles de millones de impresiones de anuncios en sitios web de alto perfil a través de redes publicitarias legítimas.
Pero en lugar de confiar en la interacción deliberada de los visitantes con los anuncios en línea, eGobbler utiliza exploits de navegador (Chrome y Safari) para lograr la tasa de clics máxima y secuestrar con éxito la mayor cantidad posible de sesiones de usuarios.
En su anterior campaña de publicidad maliciosa, el grupo eGobbler estaba explotando una vulnerabilidad de día cero (CVE-2019-5840) en Chrome para iOS en abril , lo que les permitió evitar con éxito el bloqueador de ventanas emergentes incorporado en los dispositivos iOS y secuestrar 500 millones de sesiones de usuarios móviles en solo una semana para mostrar anuncios emergentes.
Aunque Google ya parchó la vulnerabilidad con el lanzamiento de Chrome 75 en junio, eGobbler todavía está utilizando la falla para apuntar a aquellos que aún no han actualizado su navegador Chrome.
eGobbler aprovecha la falla de WebKit para redirigir a los usuarios a sitios maliciosos
Sin embargo, según el último informe publicado por la firma de seguridad Confiant, los actores de amenazas de eGobbler descubrieron recientemente y comenzaron a explotar una nueva vulnerabilidad en WebKit , el motor del navegador utilizado por el navegador Apple Safari para iOS y macOS, Chrome para iOS y también en versiones anteriores de Chrome para escritorio.
El nuevo exploit de WebKit es más interesante porque no requiere que los usuarios hagan clic en ningún sitio de noticias legítimas, blogs o sitios web informativos que visitan, ni genera ningún anuncio emergente.
En cambio, los anuncios de display patrocinados por eGobbler aprovechan el exploit de WebKit para redirigir a los visitantes a sitios web que alojan esquemas fraudulentos o malware tan pronto como presionan el botón de «tecla abajo» o «página abajo» en sus teclados mientras leen el contenido del sitio web.
Esto se debe a que la vulnerabilidad de Webkit en realidad reside en una función de JavaScript, llamada evento onkeydown que ocurre cada vez que un usuario presiona una tecla en el teclado, que permite que los anuncios que se muestran dentro de los iframes rompan las protecciones de sandbox de seguridad.
«Esta vez, sin embargo, la ventana emergente de Chrome de iOS no estaba apareciendo como antes, pero de hecho, estábamos experimentando redirecciones en los navegadores WebKit tras el evento ‘onkeydown'», dijeron los investigadores en su último informe .
«La naturaleza del error es que un iframe anidado de origen cruzado puede ‘enfocarse automáticamente’, lo que evita la directiva de espacio aislado ‘permitir-navegación-superior-por-activación-usuario’ en el marco primario».
«Con el marco interno enfocado automáticamente, el evento keydown se convierte en un evento de navegación activado por el usuario, lo que hace que el sandboxing de anuncios sea completamente inútil como una medida para la mitigación de redireccionamiento forzado».
Aunque las pautas de la tienda de aplicaciones de Apple restringen todas las aplicaciones de iOS con capacidad de navegación web para usar su marco WebKit, incluido Google Chrome para iOS, los usuarios de dispositivos móviles aún tienen menos probabilidades de verse afectados por la falla de redirección ya que el evento ‘onkeydown’ no funciona El sistema operativo móvil.
Sin embargo, la carga útil de eGobbler, a menudo entregada a través de servicios CDN populares, también incluye código para activar redirecciones cuando los visitantes de una aplicación web específica intentan ingresar algo en un área de texto o formularios de búsqueda, probablemente «para maximizar las posibilidades de secuestrar estas pulsaciones de teclas».
Como creen los investigadores, «esta hazaña fue clave para magnificar el impacto de este ataque».
Entre el 1 de agosto y el 23 de septiembre, se ha visto a los actores de amenazas sirviendo su código malicioso a un asombroso volumen de anuncios, que los investigadores estiman en hasta 1.16 mil millones de impresiones.
Mientras que la anterior campaña de publicidad maliciosa de eGobbler se dirigió principalmente a usuarios de iOS en los Estados Unidos, el último ataque se dirigió a usuarios en países de Europa, siendo la mayoría de Italia.
Confiant informó en privado la vulnerabilidad de WebKit a los equipos de seguridad de Google y Apple. Apple solucionó la falla en WebKit con el lanzamiento de iOS 13 el 19 de septiembre y en el navegador Safari 13.0.1 el 24 de septiembre, mientras que Google aún no lo ha solucionado en Chrome.
Fuente: thehackernews.com
