Malvertiser利用WebKit 0-Day将浏览器用户重定向到诈骗网站

一个名为“ScamClub”的恶意软件群利用基于WebKit的浏览器中的零日漏洞，注入恶意有效载荷，将用户重定向到欺诈网站礼品卡诈骗。

广告安全公司Confiant于2020年6月底首次发现了这些攻击，它们利用了一个漏洞（CVE-2021–；1801），允许恶意方绕过浏览器引擎中的iframe沙箱策略，该策略为Safari和Google Chrome iOS提供动力，并运行恶意代码。

具体来说，该技术利用了WebKit处理JavaScript事件侦听器的方式，因此，尽管存在“允许通过用户激活进行顶部导航”属性，该属性明确禁止任何重定向，除非点击事件发生在iframe内部，否则可以打破与广告的内联框架元素相关联的沙箱。

为了验证这一假设，研究人员开始创建一个简单的HTML文件，其中包含一个跨源沙盒iframe和它外部的一个按钮，该按钮触发一个事件来访问iframe，并将点击重定向到恶意网站。

“第[…]Confiant研究员Eliya Stein说：“按钮毕竟不在沙盒框架内。”然而，如果它真的重定向，那就意味着我们手上有一个浏览器安全漏洞，当在基于WebKit的浏览器上测试时，也就是在桌面和iOS上的Safari时，结果就是这样。"

在2020年6月23日向苹果公司披露了相关信息后，这家科技巨头于2020年12月2日修补了WebKit，并在本月早些时候发布了iOS 14.4和macOS Big Sur的安全更新，随后“通过改进iframe沙箱执行”解决了该问题。

Confinant表示，在过去90天里，ScamClub的运营商已经发布了超过5000万条恶意印象，一天内就发布了多达1600万条受影响的广告。

“在战术方面，这位攻击者历来倾向于我们所说的‘轰炸’策略，”斯坦详细阐述道。

“他们没有试图在雷达下飞行，而是向广告技术生态系统注入大量可怕的需求，他们清楚地意识到，其中的大部分将被某种把关所阻挡，但他们以难以置信的高容量这样做，希望这一小部分的需求能够造成重大损害。”

Confinant还公布了ScamClub集团最近开展诈骗活动时使用的网站列表。