惡意攻擊活動濫用Chrome劫持5億iOS用戶會話

針對來自美國和多個歐盟國家的iOS用戶的多起大規模惡意攻擊持續了近一周，這些攻擊使用了Chrome的iOS漏洞，繞過了該瀏覽器內置的彈出窗口攔截器。 eGobbler，這一系列攻擊背后的威脅組織，在整個宣傳過程中使用了“8個單獨的廣告活動和30多個虛假創意”，每個虛假廣告活動的壽命在24到48小時之間。據發現和監控eGobbler iOS攻擊的研究人員稱，總共有大約5億用戶參與了這場大規模的、精心策劃的宣傳虛假廣告的活動。

eGobbler 的攻擊活動通常最多持續48小時，緊接著是短暫的休眠，當Confiant的專家發現下一次攻擊開始時，這種休眠就會突然終止。四月的活動使用了。world域名的登陸頁面，并利用彈出窗口劫持用戶會話，將受害者重定向到惡意登陸頁面。 雖然使用彈出窗口作為類似于將目標重定向到惡意行為者為釣魚或惡意軟件刪除目的而設計的頁面的方法的一部分已經被觀察到，但是考慮到瀏覽器彈出窗口攔截器的有效性，這絕對是一個不同尋常的方法。 在研究人員測試了惡意廣告活動的有效載荷后，騙子們決定使用彈出窗口劫持用戶會話。這些有效載荷“跨越24個設備，包括物理設備和虛擬設備”，并“在沙箱和非沙箱iframe之間對這個實驗進行了分割測試。” 他們發現，有效載荷的主要會話劫持機制是基于彈出窗口的，而且，iOS上的Chrome是一個例外，內置的彈出窗口攔截器總是失敗。發生這種情況的原因被揭示是載荷內置的技術，利用iOS Chrome的檢測周圍的用戶激活彈出檢測，從而繞過彈出框阻塞。 eGobbler Chrome for iOS利用了繞過廣告沙箱屬性 為了做到這一點，eGobbler集團在這些大規模的惡意宣傳活動中使用的惡意有效負載利用了iOS web瀏覽器Chrome中一個尚未修補的漏洞——在Confiant于4月11日報告了這個漏洞之后，Chrome團隊正在調查這個問題。 更糟糕的是，eGobbler所利用的惡意利用是無法通過標準的廣告沙箱屬性來預防的。這意味著，在谷歌的AdX和EBDA等廣告服務產品中構建的廣告沙箱屬性也將受到有效負載及其用戶交互需求的限制。 這一活動是由eGobbler malvertising小組專門針對iOS用戶設計的，但這并不是第一次。2018年11月，Confiant監控了由詐騙俱樂部組織發起的另一場活動，該組織成功劫持了大約3億iOS用戶會話，并將其全部轉向成人內容和禮品卡詐騙。 在短暫的停頓之后，該活動在4月14日戰略重心轉向另一個平臺，目前仍活躍在。網站的TLD登陸頁面。由于受到5億用戶的影響，這是我們在過去18個月里看到的三大惡意廣告活動之一。 來源：安全加