Die auf die USA konzentrierten eGobbler-Angriffe zur Malvertisierung nutzen einen ungepatchten Google-Chrome-Fehler aus.
Etwa eine halbe Milliarde Apple iOS-Benutzer (und es werden immer mehr) wurden von Cyberkriminellen, die Session-Hacking betreiben und Malware verbreiten wollen, getroffen. Sie nutzen eine ungepatchte Schwachstelle des Chrome for iOS-Browsers aus, um Sandboxing zu umgehen und Benutzersitzungen zu kapern, wobei sie iPhone- und iPad-Benutzer ins Visier nehmen.
Die Angriffe sind das Werk der eGobbler-Bande, so die Forscher, die bereits vor den großen Feiertagswochenenden in großem Umfang Malvertising-Angriffe durchgeführt hat. Ostern steht vor der Tür, und die Gauner setzen darauf, dass die Verbraucher viel mehr Zeit als gewöhnlich mit ihrem Handy im Internet verbringen.
Session-Hijacking tritt auf, wenn ein Benutzer auf einer Webseite surft und plötzlich auf eine andere Seite oder Landing-Page umgeleitet wird oder wenn ein Pop-up erscheint, aus dem man nicht mehr herauskommt. Die Seiten sehen aus wie Anzeigen bekannter Marken; aber in Wirklichkeit wird eine Nutzlast bereitgestellt, wenn ein Benutzer auf eine von ihnen klickt.
In diesem Fall "ist die Kampagne ... derzeit noch unter den '.site' TLD-Landeseiten aktiv", sagte Eliya Stein von Confiant in einer Analyse in dieser Woche. "Mit einer halben Milliarde betroffener Nutzersitzungen gehört dies zu den drei größten Malwerbekampagnen, die wir in den letzten 18 Monaten gesehen haben.
Die Offensive zielt hauptsächlich auf US-Nutzer ab, obwohl einige europäische Aktivitäten beobachtet wurden.
Inzwischen hat mindestens ein anderes Forschungsunternehmen erklärt, dass der Angriff auch gegen Apple Safari-Benutzer wirksam ist - und damit eine viel größere Angriffsfläche eröffnet, da die meisten iOS-Benutzer den Standard-Browser von Apple für das mobile Web-Surfen verwenden.
Die Kampagne konnte im Laufe weniger Tage eine solche Reichweite erreichen (sie ist erst seit letzter Woche aktiv), weil sie der Analyse zufolge einen nicht gepatchten Fehler in Google Chrome für iOS nutzt.
Stein sagte, die Kampagne habe die Confiant-Forscher überrascht, weil sie Pop-ups statt Weiterleitungen verwendet. Einheimische Werbe- und Pop-up-Blocker in den Browsern sind in der Regel ziemlich effektiv, um diese Art von Angriffen zu verhindern, so dass Pop-ups selten als primärer Entführungsmechanismus bei der Malvertisierung angesehen werden.
"Wir haben die Nutzlast auf mehr als zwei Dutzend Geräten getestet, sowohl physisch als auch virtuell", sagte Stein. "Der bösartige Code selbst hat eine hartcodierte Logik, die auf iOS abzielt, also haben wir diese Bedingung entfernt, um die Ergebnisse der vollständigen Ausführung auf allen Geräten, die wir getestet haben, zu sehen... Wir waren sofort überrascht, dass der Hauptmechanismus der Nutzlast für die Sitzungsentführung auf Pop-ups basierte, und darüber hinaus war Chrome auf iOS ein Ausreißer, da der eingebaute Pop-up-Blocker konsequent versagte.
Bei der Untersuchung der Gründe für das Versagen des Blockers stellten sie fest, dass die Pop-ups in Chrome für iOS nicht durch die üblichen Sandboxing-Attribute der Werbung verhindert werden können. Bei diesen Attributen handelt es sich im Wesentlichen um Regeln, die auf einen iFrame angewendet werden können, um die Aktionen und APIs einzuschränken, die dem Inhalt innerhalb dieses iFrames zur Verfügung stehen.
"Diese Einschränkungen können Direktiven wie das Verbieten von JavaScript oder das Blockieren der Top-Level-Navigation umfassen, es sei denn, sie werden durch eine Benutzeraktion ausgelöst", erklärte Stein. "Sandboxing neigt dazu, eine ziemlich beträchtliche Auswirkung zu haben, wenn es um böswillige Werbeeinschränkungen geht".
Beim Testen der eGobbler-Nutzlast gegen Googles Standardsatz von Sandboxing-Attributen entdeckte das Team, dass der eGobbler-Exploit viele von ihnen erfolgreich umgeht, einschließlich der Regel, Pop-ups nur als Ergebnis direkter Nutzerinteraktion zuzulassen. Das bedeutet, dass ein Pop-up nach dem Zufallsprinzip auf einer Drive-by-Basis erscheinen kann, ohne blockiert zu werden.
"Die Tatsache, dass dieser Exploit in der Lage ist, diese Notwendigkeit der Benutzerinteraktion zu umgehen, sollte nach der gleichen Ursprungspolitik wie bei den ursprungsübergreifenden iFrames unmöglich sein", sagte Stein und bezog sich dabei auf die gemeinsame Web-Architekturpolitik, die verhindert, dass ein Skript auf einer Seite Zugriff auf sensible Daten auf einer anderen Webseite erhält. "Darüber hinaus wird dadurch die Anti-Umleitungs-Funktionalität des Browsers vollständig umgangen, da der Angreifer nicht einmal mehr eine Umleitung erzeugen muss, um die Benutzersitzung zu kapern.
Dieser Fehler sei daher die Ursache dafür, dass der Angriff in so kurzer Zeit so virulent geworden sei.
"Wo die Standard-Sandbox-Regeln ... letztendlich erfolgreich bestimmte Umleitungen blockieren würden, haben sie es konsequent versäumt, die Nutzer vor dieser Kampagne auf iOS Chrome zu schützen", stellte Stein fest.
Confiant gibt noch keine Details über die Nutzlast selbst oder den Proof-of-Concept heraus, da Google über das Problem informiert wurde und an einem Patch arbeitet. In der Zwischenzeit geht die Kampagne weiter.
Der bisherige Gesamtschub setzt sich aus acht Einzelkampagnen mit 30 gefälschten Anzeigen zusammen, von denen jede ihre eigene Zielgruppenansprache hat.