Хакерская группировка eGobbler эксплуатировала уязвимости в Chrome для iOS, а также десктопных версиях браузеров Chrome и Safari, чтобы обойти защиту и показывать своим жертвам вплывающую рекламу и перенаправлять их на вредоносные сайты.
По данным специалистов Confiant, eGobbler впервые попала в после зрения специалистов осенью 2018 года, и ныне считается одной из наиболее серьезных группировок в сфере вредоносной рекламы. Обычно группа активизируется на короткое время, во время крупных праздников. К примеру, в феврале 2019 года, когда в США отмечали Президентский день, хакеры показали американским пользователям более 800 000 000 вредоносных рекламных объявлений, которые приводили жертв на сайты фальшивой технической поддержки и фишинговые ресурсы.
Во время таких всплесков активности хакеры покупают рекламу у легитимных сервисов и внедряют вредоносный код в объявления, чтобы их эксплоиты выходили за пределы безопасного iframe объявления и выполняли вредоносные действия в браузерах. В основном группа была нацелена на мобильные устройства, так как большинство их пользователей не используют блокировщики рекламы, и мобильные браузеры не так хорошо защищены от эксплоитов, как их десктопные «коллеги».
Теперь эксперты Confiant опубликовали новый отчет, в котором сообщили, что eGobbler по-прежнему активно эксплуатирует баги в браузерах. Так, свой первый эксплоит для 0-day уязвимости хакеры задействовали в апреле текущего года. Тогда атака затронула только пользователей Chrome для iOS, и в итоге уязвимость CVE-2019-5840 была исправлена в июне, с релизом Chrome 75. Тем не менее, eGobbler продолжили использовать баг даже после выхода патча, нацеливаясь на пользователей, которые не смогли обновить Chrome.
Исследователи пишут, что летом текущего года, вскоре после того, как разработчики Google исправили уязвимость в Chrome для iOS, хакеры обнаружили еще одну проблему, полезную для их деятельности. Новая ошибка затрагивает движок WebKit, который используют старые версии Chrome, а также Safari. В итоге в зоне риска оказались оба браузера, ведь текущий движок Chrome (Blink) основан на WebKit и по-прежнему использует части старого кода.
Эксплуатация бага осуществляется через использование события onkeydown, JavaScript-функции, которая выполняется при каждом нажатии клавиш. eGobbler использует уязвимость для показа жертвам всплывающих окон, когда пользователи взаимодействуют с сайтом нажимая клавиши.
По данным Confiant, пока эту уязвимость исправили только инженеры Apple (в iOS 13, вышедшей на прошлой неделе). Специалисты Google пока не выпустили исправление, а значит, что пользователи Chrome по-прежнему уязвимы.
Так как вторая уязвимость влияет уже не только на мобильные версии браузеров, группировка распространила свои операции и на десктопных пользователей. По информации исследователей, в период с 1 августа по 23 сентября они зафиксировали, что eGobbler распространяла вредоносную рекламу с «ошеломляющей» скорость и сумела осуществить примерно 1,16 миллиарда показов опасных объявлений.
Группа более не нацелена только на пользователей iOS из США, но также атакует десктопные браузеры европейских пользователей. На текущий момент больше всего от таких атак пострадали итальянцы.
