هجوم “صفر يوم” في WebKit يعيد توجيه المستخدمين إلى مواقع احتيال
بعد الكشف المسؤول إلى Apple في 23 يونيو 2020 ، عملاق التكنولوجيا مرقح WebKit في 2 ديسمبر 2020 ، ووجهت بعد ذلك القضية "مع تطبيق صندوق الرمل IFRAME المحسن" كجزء من تحديثات الأمان التي تم إصدارها في وقت سابق من هذا الشهر iOS 14.4 و ماكوس بيج سور.
متابعات-ميكسي نيوز
هجوم “صفر يوم” في WebKit…استغلت مجموعة مراوغات تُعرف باسم “Scamclub” ثغرة أمنية ليوم صفري في المتصفحات المستندة إلى WebKit لحقن الأحمال الخبيثة التي أعادت توجيه المستخدمين إلى عمليات الاحتيال على بطاقة هدايا مواقع الويب الاحتيالية.
الهجمات ، أولا رصدت بواسطة شركة أمن الإعلانات المخلصة في أواخر يونيو 2020 ، استفادت من خطأ (CVE-2021-1801) التي سمحت للأطراف الضارة بتجاوز iframe سياسة Sandboxing في محرك المتصفح التي تعمل على تشغيل Safari و Google Chrome لنظام التشغيل iOS وتشغيل التعليمات البرمجية الضارة.
على وجه التحديد ، استغلت هذه التقنية الطريقة التي يتعامل بها WebKit JavaScript مستمعي الحدث، مما يجعل من الممكن الخروج من صندوق الرمل المرتبط بعنصر الإطار المضمّن للإعلان على الرغم من وجود سمة “ABLITE-TOP-TOPMIGINES-BY-USER-USER” التي تحظر صراحة أي إعادة توجيه ما لم يحدث حدث النقر داخل IFRAME.
لاختبار هذه الفرضية ، بدأ الباحثون في إنشاء ملف HTML بسيط يحتوي على iframe المغطى بالرمل المتقاطع وزر خارجه الذي أثار حدثًا للوصول إلى iFrame وإعادة توجيه النقرات إلى مواقع الويب المارقة.
وقالت الباحثة إيليا شتاين الباحثة المربفة: “الزر (…) خارج الإطار المربح بعد كل شيء”. “ومع ذلك ، إذا تم إعادة توجيه ذلك ، فهذا يعني أن لدينا خطأ أمان المتصفح على أيدينا ، والذي اتضح أنه هو الحال عند اختباره على المتصفحات المستندة إلى WebKit ، وهي Safari على سطح المكتب و iOS.”
بعد الكشف المسؤول إلى Apple في 23 يونيو 2020 ، عملاق التكنولوجيا مرقح WebKit في 2 ديسمبر 2020 ، ووجهت بعد ذلك القضية “مع تطبيق صندوق الرمل IFRAME المحسن” كجزء من تحديثات الأمان التي تم إصدارها في وقت سابق من هذا الشهر iOS 14.4 و ماكوس بيج سور.
وقال إكونا إن مشغلي Scamclub قد سلموا أكثر من 50 مليون انطباع ضار على مدار 90 يومًا الماضية ، حيث يتم تقديم ما يصل إلى 16 مم الإعلانات في يوم واحد.
“على جانب التكتيكات ، يفضل هذا المهاجم تاريخيا ما نشير إليه كاستراتيجية” قصف “” ، أوضح شتاين.
“بدلاً من محاولة الطيران تحت الرادار ، فإنهم يغمرون النظام الإيكولوجي للتكنولوجيا الإعلانية بأطنان من الطلب الرهيب على إدراك جيد أن الغالبية العظمى منه سيتم حظرها بنوع من الحفاظ على البوابة ، لكنهم يفعلون ذلك بأحجام عالية بشكل لا يصدق على أمل أن تتسبب النسبة المئوية الصغيرة التي تنزلق إلى أضرار كبيرة.”
إكونة أيضا المنشورة قائمة مواقع الويب التي تستخدمها مجموعة Scamclub لتشغيل حملة الاحتيال الأخيرة.
