Hơn một tỷ lượt hiển thị quảng cáo độc hại khai thác lỗ hổng WebKit nhắm vào người dùng Apple

Lỗ hổng Webkit

Nhóm hacker khét tiếng eGobbler nổi lên từ hồi đầu năm nay với các chiến dịch quảng cáo độc hại “khổng lồ”, mới đây lại tiếp tục gây chú ý với một chiến dịch mới khai thác hai lỗ hổng trình duyệt nhằm hiển thị quảng cáo pop-up xâm nhập và cưỡng bức người dùng chuyển hướng đến các trang web độc hại.

Cần lưu ý là các hacker không hề tìm được cách chạy quảng cáo miễn phí, mà thay vào đó phương thức hoạt động của chúng là dựa vào các khoản ngân quỹ lớn để đạt được hàng tỷ lượt hiển thị quảng cáo trên các trang web nổi tiếng (high profile) thông qua các mạng quảng cáo hợp pháp.

Khai thác trình duyệt nhằm đạt tỷ lệ nhấp chuột tối đa

Nhưng thay vì dựa vào số lượt tương tác có chủ ý của khách truy cập với quảng cáo trực tuyến, eGobbler sử dụng các thủ thuật khai thác trình duyệt (Chrome và Safari) để đạt được tỷ lệ nhấp chuột (click rate) tối đa và chiếm quyền kiểm soát càng nhiều phiên của người dùng càng tốt.

Trong chiến dịch quảng cáo độc hại được thực hiện hồi tháng 4, nhóm eGobbler đã khai thác thành công lỗ hổng 0-day (CVE-2019-5840) trong Chrome dành cho hệ điều hành iOS, cho phép những kẻ này vượt qua (bypass) trình chặn cửa sổ pop-up tích hợp của trình duyệt trên các thiết bị iOS và chiếm quyền kiểm soát 500 triệu phiên người dùng di động trong vòng một tuần nhằm hiển thị các quảng cáo pop-up.

Tác động của eGobbler tại các khu vực địa lý khác nhau
Quảng cáo pop-up mẫu độc hại cho thấy cách thức các hacker đe dọa nạn nhân với các thông báo
về tình trạng lây nhiễm virus của thiết bị

Mặc dù Google đã vá lỗ hổng với việc phát hành Chrome 75 vào tháng 6, nhưng eGobbler vẫn đang tiếp tục khai thác lỗ hổng này để nhắm mục tiêu vào những người dùng chưa cập nhật phiên bản trình duyệt Chrome mới.

eGobbler khai thác lỗ hổng WebKit để chuyển hướng người dùng đến các trang web độc hại

Tuy nhiên, theo báo cáo mới nhất được công bố bởi công ty bảo mật Confiant, các tác nhân đe dọa eGobbler gần đây đã phát hiện và bắt đầu khai thác một lỗ hổng mới trong WebKit – một công cụ trình duyệt nguồn mở được sử dụng bởi trình duyệt Apple Safari cho iOS, macOS, Chrome dành cho iOS và cả các phiên bản trước đó của Chrome cho máy tính để bàn.

Khai thác WebKit mới có nhiều điểm thú vị hơn vì nó không yêu cầu người dùng nhấp vào bất cứ nơi nào trên các bản tin, blog hoặc trang web thông tin mà họ truy cập, đồng thời cũng không tạo ra bất kỳ quảng cáo pop-up nào.

Thay vào đó, quảng cáo hiển thị được bảo trợ bởi eGobbler tận dụng các khai thác WebKit để cưỡng bức chuyển hướng khách truy cập đến các trang web lưu trữ các chương trình lừa đảo hoặc phần mềm độc hại ngay khi họ nhấn nút “key down” (phím xuống) hoặc “page down” (trang xuống) trên bàn phím trong khi đọc nội dung trên trang web.

Điều này xảy ra là do lỗ hổng Webkit nằm trong một hàm JavaScript, được gọi là onkeydown. Mỗi khi người dùng nhấn vào một phím trên bàn phím, quảng cáo sẽ được cho phép hiển thị trong iframe và tránh được các bảo vệ từ hộp cát bảo mật.

Hơn 1,16 lượt hiển thị quảng cáo độc hại

Mặc dù theo nguyên tắc thì cửa hàng ứng dụng Apple sẽ hạn chế tất cả các ứng dụng iOS có khả năng duyệt web để sử dụng khung WebKit của nó, bao gồm cả Google Chrome cho iOS, điều đó có nghĩa người dùng di động ít có khả năng bị ảnh hưởng bởi lỗ hổng chuyển hướng vì ‘onkeydown’ không hoạt động trên hệ điều hành di động.

Tuy nhiên, payload của eGobbler thường được phân phối thông qua các dịch vụ CDN phổ biến có bao gồm mã để kích hoạt chuyển hướng khi khách truy cập (của các ứng dụng web được nhắm mục tiêu) cố gắng nhập nội dung nào đó trong vùng văn bản hoặc biểu mẫu tìm kiếm. Lúc này các hacker có khả năng cao để tối đa hóa cơ hội chiếm quyền điều khiển các keypress này.

Các nhà nghiên cứu tin rằng đây chính là điểm mấu chốt khiến cho cuộc tấn công trở nên nghiêm trọng hơn.  

Từ ngày 1 tháng 8 đến ngày 23 tháng 9, các nhà nghiên cứu ước tính có tới hơn 1,16 tỷ lượt hiển thị.

Nếu chiến dịch trước, eGobbler chủ yếu nhắm vào người dùng iOS ở Hoa Kỳ thì cuộc tấn công mới này chuyển hướng mục tiêu vào những người dùng ở các nước châu Âu và phần lớn là từ Ý.

Confiant đã báo cáo riêng về lỗ hổng WebKit cho các nhóm bảo mật của Google và Apple. Apple đã vá lỗ hổng trong WebKit bằng việc phát hành iOS 13 vào ngày 19 tháng 9 và trong trình duyệt Safari 13.0.1 vào ngày 24 tháng 9, trong khi Google vẫn chưa giải quyết vấn đề này trong Chrome.

THN