Группировка eGobbler с 1 августа по 23 сентября показала порядка 1,16 млрд вредоносных рекламных объявлений пользователям настольных ПК с установленными браузерами на основе WebKit. Жертв принудительно перенаправляли на опасные сайты, обходя встроенную защиту через баг в движке.

Преступники известны специалистам по кибербезопасности почти год. Свою деятельность они начали в США в ноябре 2018 года. Злоумышленники действовали преимущественно в праздничные и выходные дни, и в короткий срок успевали показать миллионы вредоносных объявлений.

Так, в апреле текущего года под удар попали пользователи iOS-устройств: злоумышленники воспользовались ошибкой CVE-2019-5840 в версии Chrome для гаджетов компании Apple, чтобы обойти блокировку всплывающих окон. Исследователи зарегистрировали более 500 млн вредоносных показов за пять дней.

Отметим, что география апрельских атак шире, чем в предыдущих кампаниях. Пострадали не только граждане США, но и жители Евросоюза. В июне уязвимость, на которую полагались злоумышленники, закрыли с выходом 75-й версии Chrome.

Новые атаки оказались гораздо более продолжительными по времени. Злоумышленники действовали в течение неполных двух месяцев. В отличие от предыдущей кампании, их больше интересовали владельцы настольных ПК. В числе жертв оказались и пользователи iOS, но в основном пострадали владельцы устройств с Windows, Linux и macOS. Кроме того, на этот раз злоумышленники ориентировались преимущественно на жителей Европы. Больше всего атак пришлось на долю граждан Италии, Испании, Бельгии и Франции.

Преступники воспользовались уязвимостью в движке WebKit, который используется в целом наборе программ, в частности в старых версиях браузеров на основе Chromium, а также в Safari. Эксперты считают, что преступники целенаправленно искали новую уязвимость после того, как в июне компания Google закрыла ошибку CVE-2019-5840.

Эксплойт WebKit по нажатию клавиш на клавиатуре, например при вводе данных в текстовое поле на сайте с вредоносным объявлением, перенаправлял пользователя на мошеннический ресурс. Чтобы повысить вероятность успешного редиректа, злоумышленники в основном полагались на веб-приложения с текстовыми полями и строками поиска.

Разработчики Chrome выпустили обновления для WebKit, закрывающие использованную мошенниками уязвимость, 12 августа. Также баг закрыли в iOS — 19 сентября, и в Safari — 24 сентября.

Для защиты от вредоносных объявлений специалисты рекомендуют не только своевременно устанавливать патчи, но также пользоваться антивирусными программами и блокировщиками рекламы.

Категории: Мошенничество, Уязвимости, Хакеры