Los investigadores descubrieron una reciente campaña de publicidad maliciosa del actor de amenazas eGobbler que se dirige a millones de usuarios de iOS para secuestrar sus sesiones aprovechando la vulnerabilidad de Chrome
Los atacantes engañan a los usuarios de iOS para redirigirlos a la página de carga maliciosa y esta campaña puede ser reconocida fácilmente por su uso del .world
El secuestro de sesión, a veces también conocido como secuestro de cookies, es la explotación de una sesión de computadora válida, a veces también llamada clave de sesión, para obtener acceso no autorizado a información o servicios en un sistema informático.
Malvertisers utilizando diferentes métodos de secuestro, incluido el redireccionado a través de JavaScript, ventanas emergentes que redirigen a nuevas ventanas. La reciente campaña de publicidad maliciosa que se apoya en las ventanas emergentes como el principal mecanismo de secuestro.
Los actores de subprocesos de eGobbler aprovechan principalmente la técnica llamada encubrimiento y algunas de las otras ofuscaciones para evadir la detección de carga útil y hacer que la carga útil parezca legítima.
Los investigadores descubrieron que el código malicioso dentro de la carga útil tiene una lógica codificada que apunta a iOS.
El mecanismo principal de secuestro de la carga útil se basó en una ventana emergente, lo que es una ventaja para los actores de amenazas, ya que el bloqueador de ventanas emergentes incorporado falló sistemáticamente.
Según confiant , "Desde aquí experimentamos el tedioso proceso de ingeniería inversa de la carga útil, donde descubrimos técnicas que aprovecharon la detección de iOS Chrome en torno a la detección de elementos emergentes activada por el usuario, lo que resultó en la elusión del bloqueo de elementos emergentes. "
Este error de Chrome aún no se ha parcheado y las vulnerabilidades activas dirigidas a varios objetivos en todo el mundo.
Las explotaciones de publicidad maliciosa aprovechadas por eGobbler para eludir los atributos estándar de sandboxing de anuncios.
“Creemos que este exploit fue clave para magnificar el impacto de este ataque. Donde las reglas estándar de los recintos de pruebas de arena como las anteriores podrían finalmente tener éxito en el bloqueo de ciertas redirecciones, no lograron proteger a los usuarios de esta campaña en iOS Chrome ". Los investigadores dijeron".
Su campaña se dirigió principalmente a los estadounidenses, pero las editoriales europeas también tuvieron un impacto significativo con la vida útil de 24 a 48 horas.
"La campaña vio un giro estratégico el 14 de abril a otra plataforma y todavía está activa en las páginas de aterrizaje de TLD" .site ". Con medio billón de sesiones de usuarios impactadas ”.
Fecha actualización el 2021-04-18. Fecha publicación el 2019-04-18. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: gbhackers Version movil