ScamClub exploite un bug zéro-day pour rediriger les usagers

0

Le groupe de malvertising ScamClub a utilisé une vulnérabilité zéro-day dans le moteur de navigateur Web WebKit pour distribuer des charges utiles qui redirigeaient vers des escroqueries de bon d’achat.

Au cours de leurs campagnes durant les trois derniers mois, le nombre d’impressions d’annonces malveillantes diffusées en une journée a enregistré des pics pouvant atteindre 16 millions.

Les malvertisseurs de ScamClub sont connus pour leurs tactiques bruyantes qui consistent à inonder l’écosystème publicitaire avec des publicités malveillantes en espérant qu’un petit pourcentage passe.

Même si la plupart des publicités sont bloquées, le volume est si important que les publicités qui se frayent un chemin sans être détectées représentent un nombre important d’impressions malveillantes au cours d’une seule campagne.

Décrivant la «stratégie de bombardement» de ScamClub, Confiant, la société de sécurité publicitaire et de contrôle de la qualité, affirme qu’une amélioration de seulement 1% du taux de redirection peut se traduire par «des dizaines de milliers d’impressions impactées» au cours d’une seule campagne.

La faille exploitée par ScamClub

En observant l’activité de ScamClub, en Juin 2020, Confiant a remarqué dans le code obscurci de la charge utile quatre lignes avec un auditeur d’événements qui a attiré la curiosité des chercheurs.

scamclub

Dans un article de blog publié récemment, l’ingénieur et chercheur en sécurité de Confiant, Eliya Stein, a découvert que le malvertisseur s’appuyait sur une vulnérabilité dans WebKit qui contournait la politique de sandboxing de l’iframe.

En poursuivant son enquête, le chercheur a supprimé le code inutile et a mis en scène un simple fichier HTML avec un iframe en sandbox d’origine croisée et un bouton qui distribuait l’événement, la charge utile étant l’auditeur.

scamclub

Stein note que l’attribut sandbox ‘allow-top-navigation-by-user-activation’ dans le code de lapreuve de concept ci-dessus devrait empêcher toute redirection. Ceci est valable si aucune activation correcte ne se produit, ce qui, dans ce cas, signifie cliquer à l’intérieur du cadre.

« Cela signifie que notre preuve de concept ne devrait en aucun cas fonctionner. Le bouton clickMe se trouve après tout en dehors du cadre sandbox. Cependant, s’il redirige, cela signifie que nous avons un bug de sécurité du navigateur sur nos mains, ce qui s’est avéré être le cas lors des tests sur les navigateurs qui utilisent WebKit, à savoir Safari sur PC et iOS.  » a expliqué Eliya Stein.

Bien que cela devrait théoriquement empêcher les redirections malveillantes, le chercheur explique en outre que les messages avec des destinations génériques dans les applications Web modernes sont courants et qu’ils surviennent souvent lors de l’interaction de l’utilisateur.

Compte tenu du large ciblage de ScamClub et des grands volumes de publicités malveillantes qu’ils diffusent, certaines d’entre elles passent encore et ont un impact significatif. Vous trouverez ci-dessous les domaines utilisés dans les campagnes de publicité malveillante de ScamClub.

scamclub

Pour mettre cela en perspective, Confiant attribue au groupe ScamClub plus de 50 millions d’impressions malveillantes au cours des 90 derniers jours, avec des pics de publicités qui ont atteint 16 millions d’impressions en un jour.

Étant donné que WebKit est utilisé dans Chrome sur iOS et Safari, Stein a partagé ses trouvailles avec Apple Security et avec l’équipe en charge de Google Chrome. WebKit a reçu un correctif le 2 décembre 2020 et l’identifiant CVE-2021-1801 a été attribué à la vulnérabilité.

Confiant a publié des indicateurs de compromis (IoC) dans son référentiel GitHub, qui incluent l’hébergement des charges utiles dans le cloud Amazon et les domaines utilisés dans les récentes campagnes de ScamClub.

Si cet article vous a plu, jetez un œil à notre article précédent.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.