Il gruppo di malvertising ScamClub ha utilizzato una vulnerabilità zero-day in WebKit (il motore di rendering delle pagine Web usato da molti browser tra cui Safari per macOS e iOS, Dolphin di Samsung, Opera, Amazon Kindle e Google Chrome nelle versioni per iOS e macOS) per iniettare payload capaci di reindirizzare gli utenti verso siti con truffe basate su carte regalo.

Secondo i ricercatori Confiant che hanno scoperto il bug oggi noto come CVE-2021-1801, negli ultimi tre mesi le campagne di malvertising hanno consentito al gruppo criminale di pubblicare fino a 16 milioni di annunci dannosi in un solo giorno.

La vulnerabilità zero-day in Webkit è stata segnalata ad Apple e al team di Google Chrome. La patch è attualmente inserita nell’ultimo update di sicurezza di Apple per iOS 14.4 e macOS Big Sur uscito questo mese.

La vulnerabilità in WebKit e la tecnica di attacco

La minaccia del malvertising non rappresenta di per sé una novità: si riferisce a quelle pubblicità online dannose, capaci di causare infezioni di malware o di tracciare l’attività degli utenti.

Il gruppo di attacco ScamClub ne ha però fatto un uso peculiare mediante la strategia di bombardamento coniugato allo sfruttamento della vulnerabilità 0-day in WebKit.

Per testare l’ipotesi alla base dell’attacco, il ricercatore Eliya Stein di Confiant ha creato un semplice file HTML contenente un iframe sandbox cross-origin e un pulsante esterno che, a sua volta, ha attivato un evento per accedere all’iframe e reindirizzare i clic a siti Web non autorizzati.

Questo ha permesso di supporre che se era avvenuto il reindirizzamento allora era stato lecito pensare ad un bug di sicurezza del browser, elemento che è stato confermato sui browser basati su WebKit.

Come avviene lo sfruttamento della vulnerabilità

Research Report: scopri qual è il ruolo del Cloud per le aziende italiane

Paolo Passeri, Cyber Intelligence Principal in Netskope e fondatore di Hackmageddon, spiega in dettaglio alcuni passaggi dell’attacco, chiarendo come premessa che le campagne di malvertising si basano sull’iniezione massiva di pubblicità malevola all’interno del browser che porta ad un reindirizzamento inconsapevole dell’utente verso siti fraudolenti (come nel caso del gruppo ScamClub) o direttamente a distribuzione di malware.

Normalmente, il controllo “allow-top-navigation-by-user-activation”, un attributo considerato sino ad oggi un’arma efficace contro il malvertising, impedisce esplicitamente qualsiasi reindirizzamento a meno che l’utente non effettui una azione specifica (evento clic) all’interno dell’iframe che dovrebbe causare il reindirizzamento.

Ebbene, la nuova vulnerabilità scoperta dai ricercatori Confiant consente di bypassare ovvero aggirare la policy di sandboxing iframe nel motore del browser che alimenta Safari e Google Chrome per iOS. Tale sandbox impedisce la redirezione a meno che non vengano eseguite opportune azioni, come ad esempio il clic su un pulsante, all’interno di uno specifico iframe.

La vulnerabilità CVE-2021-1801 consente di bypassare il controllo nel caso dei browser che utilizzano WebKit. In sostanza, anche compiendo l’azione all’esterno dell’iframe iniettata dagli attaccanti, è possibile subire la redirezione malevola.

È qui che la tecnica dell’inondazione ha la sua massima convenienza e rappresenta una peculiarità: l’attacco non dovrebbe avere successo dal momento che gli attaccanti dovrebbero inserire un controllo (dispatcher) all’esterno della propria iframe e forzare l’utente ad effettuare un’azione. Tuttavia, è qui che entra in gioco la natura massiva della campagna, composta da 50 milioni di annunci dannosi negli ultimi tre mesi, con picchi di 16 milioni di campioni malevoli serviti in un giorno.

Gli attaccanti hanno moltiplicato esponenzialmente gli “ami nello stagno, per aumentare il numero di pesci da far abboccare”, in un mix atipico composto da una campagna opportunistica di iniezione massiva di contenuti malevoli per sfruttare al meglio una vulnerabilità mirata ad uno specifico motore di browsing.

Le pagine web costituiscono oggigiorno entità complesse, con molteplici messaggi che spesso hanno wildcard come destinazione: un aspetto, questo, che consente agli attaccanti di intercettare azioni eseguite all’esterno dell’iframe iniettato e compiere la redirezione malevola grazie alla vulnerabilità 0-day sopra indicata.

Infine, un ulteriore aspetto interessante della campagna di malvertising condotta dal gruppo ScamClub, sottolineato da Paolo Passeri, è dato dall’utilizzo di Amazon S3 per ospitare il payload e rappresenta un ulteriore esempio in cui i criminali usano un servizio lecito in cloud a fini malevoli.

Gianluca Boccacci, ethical hacker esperto di cyber security e presidente dei cyber actors associazione di professionisti della cyber security nata per sensibilizzare il pubblico alla cultura della cyber security, aggiunge che il metodo, finora sconosciuto, utilizzato per bypassare la funzione di iframe sandboxing di WebKit utilizza un listener di eventi che quando raccoglie un messaggio, attiva il reindirizzamento.

Questo aumenta di gran lunga le possibilità che gli utenti vengano reindirizzati ai siti web truffaldini senza fare clic effettivamente all’interno dell’iframe.

I consigli per non cadere nella trappola della nuova truffa

La timeline della disclosure parte dal 22 giugno 2020 con la scoperta di Confiant del payload di ScamClub. Il giorno dopo è stata avvisata sia Apple sia il team di Google Chrome che su iOS utilizza WebKit. Tuttavia, la patch è stata emessa all’inizio di dicembre mentre la pubblicazione della CVE e l’avviso sono stati pubblicati solo lo scorso primo febbraio nell’ultimo update di sicurezza di Apple per iOS 14.4 e macOS Big Sur.

Cofiant ha reso disponibili gli IoC in formato STIX al seguente link di GitHub, mentre alcuni dettagli dell’analisi del payload sono disponibili nel blog post pubblicato dal ricercatore Elyia Stein.

I consigli per proteggersi dai Web tracker

In generale, si consiglia di non eseguire clic su link sconosciuti, diffidare di messaggi o link relativi a buoni regalo o fantomatici premi e adottare un adblocker in grado di bloccare il tracciamento non autorizzato sul Web.

Una guida sui nuovi trend e opportunità dell’Edge Computing

@RIPRODUZIONE RISERVATA



Source link

Is your business effected by Cyber Crime?

If a cyber crime or cyber attack happens to you, you need to respond quickly. Cyber crime in its several formats such as online identity theft, financial fraud, stalking, bullying, hacking, e-mail fraud, email spoofing, invoice fraud, email scams, banking scam, CEO fraud. Cyber fraud can lead to major disruption and financial disasters. Contact Digitpol’s hotlines or respond to us online.

Digitpol’s Cyber Crime Investigation Unit provides investigative support to victims of cyber crimes. Digitpol is available 24/7. https://digitpol.com/cybercrime-investigation/

Europe +31558448040
UK +44 20 8089 9944
ASIA +85239733884