Эксперты Confiant обнаружили вредоносную рекламную кампанию, ориентированную на iOS-устройства. Злоумышленники встраивали нежелательный код в легитимные баннеры, что позволило им за пять дней направить на опасные сайты миллионы пользователей.

Организаторы атак воспользовались уязвимостью в iOS-версии Chrome, которая позволяет совершить побег из песочницы. В результате преступники смогли показывать пользователям всплывающие рекламные баннеры со ссылками на мошеннические страницы и площадки с вредоносным ПО. Все эти сайты были размещены в доменной зоне .world.

Эксперты подчеркнули, что атаки коснулись только Chrome для iOS-устройств. Нативный браузер Apple, с которым Chrome делит движок WebKit, также не попал под удар. Это позволило исследователям предположить, что угроза связана с особенностями работы WebKit именно в iOS-приложении от Google.

Особое беспокойство у экспертов вызвал тот факт, что организаторы атак смогли обойти правило ограничения домена (same origin policy). Эта политика запрещает скриптам одного сайта обращаться к сценариям другого ресурса, однако в ходе нынешних атак вредоносные iframe-объекты загружались со сторонних площадок. Исследователи опасаются, что в дальнейшем преступники смогут применить эту же технику для взлома рекламных систем Google AdX и EBDA.

Аналитики обнаружили восемь отдельных кампаний, организованных через 30 поддельных фирм. Вину за произошедшее исследователи возложили на группировку eGobbler, которая уже несколько раз отметилась подобными атаками. Все они приурочены к крупным праздникам США и направлены исключительно на американских пользователей.

Первые их атаки были зафиксированы в День благодарения (в 2018 году пришелся на 22 ноября), следующая вспышка произошла на выходных после Дня президента (отмечался 18 февраля). Нынешняя кампания может быть связана с католической Пасхой, которую будут отмечать в воскресенье 21 апреля. По словам экспертов, в праздничный период многие модераторы рекламных платформ берут отпуск, и преступники пытаются воспользоваться снижением контроля над баннерами.

Еще одна характерная особенность eGobbler состоит в том, что резкие скачки бурной активности сменяются периодами затишья. В ходе февральских атак преступники смогли за три дня показать 800 млн вредоносных баннеров. В ходе последней кампании, которая прошла с 6 по 10 апреля, количество показов составило около 500 млн.

Эти показатели ставят eGobbler в один ряд с крупнейшими организаторами вредоносных рекламных кампаний — группировками VeryMal и ScamClub. Все они атакуют американских пользователей устройств Apple, похищая их персональные данные и заражая нежелательным ПО.

Категории: Главное, Мошенничество, Уязвимости, Хакеры