Inicio / Actualidad / La campaña de publicidad maliciosa abusó de Chrome para secuestrar 500 millones de sesiones de usuarios de iOS

La campaña de publicidad maliciosa abusó de Chrome para secuestrar 500 millones de sesiones de usuarios de iOS

Múltiples ataques malvertidos masivos que atacaron a usuarios de iOS de los EE. UU. Y de varios países de la Unión Europea durante casi una semana utilizaron una vulnerabilidad de Chrome para iOS para evitar el bloqueador de elementos emergentes incorporado en el navegador.

eGobbler, el grupo de amenazas detrás de la oleada de ataques, usó “8 campañas individuales y más de 30 creativos falsos” a lo largo de su campaña, con cada una de las campañas publicitarias falsas con una vida útil de entre 24 y 48 horas.

En total, según los investigadores de Confiant que descubrieron y monitorearon los ataques dirigidos a iOS de eGobbler, aproximadamente 500 millones de sesiones de usuarios estuvieron expuestos a esta campaña orquestada a gran escala que promociona anuncios falsos.

Las campañas de eGobbler generalmente permanecen activas durante un máximo de 48 horas, seguidas inmediatamente por breves períodos de hibernación que terminan abruptamente cuando comienza el siguiente ataque, tal como lo descubrieron los expertos de Confiant.

 

 

 Microsoft negó a la policía la tecnología de reconocimiento facial por cuestiones de derechos humanos

 

 

La campaña de abril utilizó páginas de destino alojadas en dominios .world e hizo uso de ventanas emergentes para secuestrar las sesiones de los usuarios y redirigir a las víctimas a páginas de destino maliciosas.

Si bien el uso de ventanas emergentes se ha observado anteriormente como parte del uso de campañas similares como método utilizado para redirigir los destinos a las páginas diseñadas por los actores maliciosos con fines de suplantación de identidad o de malware, definitivamente es inusual teniendo en cuenta la efectividad de los bloqueadores de elementos emergentes del navegador.

La decisión de los delincuentes de utilizar ventanas emergentes para secuestrar las sesiones de los usuarios fue revelada después de que los investigadores probaron las cargas útiles de la campaña de publicidad maliciosa “en más de dos docenas de dispositivos, tanto físicos como virtuales”, y “dividieron la prueba en este experimento entre los marcos de datos de fondo de arena y los de marco no”.

Página de Inicio de eGobbler
Página de inicio de la campaña de publicidad maliciosa

Como descubrieron, “el mecanismo de secuestro de la sesión principal de la carga útil se basaba en ventanas emergentes y, además, Chrome en iOS era un elemento atípico en el sentido de que el bloqueador de ventanas emergentes incorporado fallaba constantemente”.

Se reveló que la razón por la que ocurrieron fueron las técnicas incorporadas de la carga útil que aprovechaban la detección de iOS Chrome en torno a la detección de elementos emergentes activada por el usuario, lo que provocó la elusión del bloqueo de elementos emergentes.

El exploit de eGobbler Chrome para iOS pasa por alto los atributos de los espacios aislados de anuncios

Para hacer eso, las cargas maliciosas utilizadas por el grupo eGobbler durante estas campañas de publicidad maliciosa explotaron una vulnerabilidad aún no parcheada en el navegador web Chrome para iOS: el equipo de Chrome está investigando el problema después de que Confiant notificara la falla el 11 de abril.

Para empeorar aún más las cosas, como lo demostró Confiant, “la vulnerabilidad de la publicidad maliciosa aprovechada por eGobbler es que no se puede prevenir con los atributos estándar de la caja de arena de anuncios”.

Esto significa que los atributos de la caja de arena del anuncio creados en productos de publicación de anuncios como AdX y EBDA de Google también serán eludidos por las cargas útiles, así como por sus requisitos de interacción con el usuario.

El hecho de que este exploit sea capaz de evitar esa necesidad de interacción con el usuario debería ser imposible de acuerdo con la política del mismo origen que se refiere a los iframes de origen cruzado.
Además, esto evita completamente la funcionalidad anti-redireccionamiento del navegador, ya que el atacante ya no necesita generar un redireccionamiento para secuestrar la sesión del usuario.

Esta campaña fue diseñada por el grupo de malvertising de eGobbler para dirigirse específicamente a los usuarios de iOS, pero no fue la primera. Durante noviembre de 2018 , Confiant supervisó otra campaña dirigida por el grupo ScamClub que logró secuestrar aproximadamente 300 millones de sesiones de usuarios de iOS y las redirigió a contenido de adultos y estafas de tarjetas de regalo.

Sin embargo, como dijo Confiant en su informe , “Esta realmente fue una campaña destacada en comparación con las otras a las que rastreamos, no solo por la carga útil única, sino también por los volúmenes”.

Además, “después de una breve pausa, la campaña vio un giro estratégico el 14 de abril a otra plataforma y todavía está activa en las páginas de aterrizaje de TLD ‘.site’. Con medio billón de sesiones de usuarios afectadas, este es uno de los tres principales procesos de publicidad maliciosa masiva. Campañas que hemos visto en los últimos 18 meses “.


Comenta y comparte con nosotros en nuestra red social, Facebook .

Fuente:theverge

Vea También

Los nuevos archivos médicos de imagen DICOM maliciosos causan dolor de cabeza en la HIPAA

Los archivos DICOM malintencionados pueden crearse para contener datos de imágenes de escaneo CT y …

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.