Malvertisers explotaron WebKit 0-Day para redireccionar a web fraudulentas

Un grupo de publicidad maliciosa conocido como "ScamClub" aprovechó una vulnerabilidad de día cero en los navegadores basados ​​en WebKit para inyectar cargas útiles maliciosas que redirigían a los usuarios a sitios web fraudulentos con estafas de tarjetas de regalo.

Los ataques, detectados por primera vez por la empresa de seguridad publicitaria Confiant a fines de junio de 2020, aprovecharon un error (CVE-2021–1801) que permitió a las partes maliciosas eludir la política de sandboxing de iframe en el motor del navegador que impulsa Safari y Google Chrome para iOS y ejecutar programas maliciosos. código.

Específicamente, la técnica explotó la forma en que WebKit maneja los detectores de eventos de JavaScript , lo que hace posible salir de la zona de pruebas asociada con el elemento de marco en línea de un anuncio a pesar de la presencia del atributo "allow-top-navigation-by-user-activación" que prohíbe explícitamente cualquier redirección a menos que el evento de clic ocurra dentro del iframe.

Para probar esta hipótesis, los investigadores se propusieron crear un archivo HTML simple que contenga un iframe de caja de arena de origen cruzado y un botón fuera de él que desencadenaba un evento para acceder al iframe y redirigir los clics a sitios web fraudulentos.

"Después de todo, el botón está fuera del marco de la caja de arena", dijo el investigador de Confiant Eliya Stein. "Sin embargo, si redirige, eso significa que tenemos un error de seguridad del navegador en nuestras manos, que resultó ser el caso cuando se probó en navegadores basados ​​en WebKit, es decir, Safari en el escritorio e iOS".


Tras la divulgación responsable a Apple el 23 de junio de 2020, el gigante tecnológico parcheó WebKit el 2 de diciembre de 2020 y, posteriormente, abordó el problema "con una aplicación mejorada de la caja de arena de iframe" como parte de las actualizaciones de seguridad publicadas a principios de este mes para iOS 14.4 y macOS Big Sur. .

Confiant dijo que los operadores de ScamClub han entregado más de 50 millones de impresiones maliciosas en los últimos 90 días, con hasta 16 millones de anuncios afectados que se publican en un solo día.

Citar"Por el lado de las tácticas, este atacante históricamente favorece lo que llamamos una estrategia de 'bombardeo'", explicó Stein.

"En lugar de intentar pasar desapercibidos, inundan el ecosistema de la tecnología publicitaria con toneladas de demanda horrenda, conscientes de que la mayoría será bloqueada por algún tipo de control de acceso, pero lo hacen en volúmenes increíblemente altos con la esperanza de que el un pequeño porcentaje que se deslice causará un daño significativo ".

Confiant también ha publicado una lista de sitios web utilizados por el grupo ScamClub para ejecutar su reciente campaña de estafa.

Vía: The Hacker News