脅威グループ「D-Shortiez」に関連した新しい波のマルバーティジング活動が、WebKitブラウザの欠陥を悪用してSafariおよび他のiOSブラウザのバックボタンをハイジャックしているのが確認されています。
この手法は、ユーザーを詐欺的なランディングページに閉じ込める古典的な強制リダイレクトアプローチを復活させており、広告ネットワーク全体での継続的なセキュリティ改善にもかかわらず、広告ベースの執拗な脅威行為者がいかに方法を進化させ続けているかを示しています。
研究者がD-Shortiezのペイロードを分析して発見したJavaScriptルーチンは、ブラウザのhistory.pushStateおよびonpopstateプロパティを操作しています。
スクリプトは偽の履歴エントリを挿入し、カスタムリダイレクトをバックボタンイベントにバインドします。ユーザーが移動を試みると、ハンドラはユーザーを新しい悪意あるURLに強制的にリダイレクトし、ブラウザのバック移動を実質的に無効にします。
このようなロジックはほとんどのブラウザでは正常に動作しますが、popstateイベントのSafariの独特な処理により、リダイレクトは確実かつ継続的にトリガーされることが可能になり、アナリストが「バックボタンハイジャック」と呼ぶものが生まれました。
この動作は、攻撃者がブラウザの癖を悪用して、偽のアンチウイルスアラート、ギフトカード詐欺、またはサブスクリプショントラップを表示する詐欺的なページにユーザーをロックする、初期のbrowlockスタイルの詐欺を反映しています。
WebKitバックボタンハイジャック
D-Shortiezマルウェアチェーンは典型的な強制リダイレクトパターンに従います。ユーザーは侵害されたか悪意あり広告に遭遇し、複数のフィンガープリンティングおよび追跡ドメインを通じて静かに流され、最終的には詐欺または詐欺的なコンテンツを促進する欺瞞的な目的地に到着します。
過去6ヶ月間、D-Shortiezは主にUS対象者をターゲットとした300MM以上の悪意あり広告インプレッション(カナダまで長いテール)を配信しました。
ペイロードのフィンガープリンティングセグメントは特に注目すべきものではなく、主にユーザーのデバイス、ブラウザ、位置情報をプロファイルしてターゲティングを調整するのに役立ちます。
この作戦を区別するのは、Safari固有のバックボタンの悪用を含めることであり、これはスキャムページでのユーザー保持率を高いことを保証します。
主要なブラウザ全体で実施されたテスト中に、エクスプロイトの効果はSafariおよび他のiOS WebKitベースの実装内でのみ表面化しました。
テレメトリデータは、D-Shortiezが過去6ヶ月間に300百万以上の悪意あり広告インプレッションを配信したことを示しており、米国への高い集中度に続いて、カナダとヨーロッパがあります。
主な焦点はiOSユーザーであるようです。これは行為者のWebKitのイベント処理の悪用と一致しています。
研究者は、悪意あるトラフィックの継続的な急増を示し、静かな間隔で点在する活動の波を観察しました。これは組織的なキャンペーンサイクルを示唆するパターンです。
ペイロードおよびリダイレクトネットワーク構造は、低品質の広告サプライチェーンに関連する他の既知のマルバーティジングクラスタと重複しており、アフィリエイト詐欺およびスキャムマネタイゼーションネットワークに潜在的にリンクされています。
属性指標は、インフラストラクチャがブロックリスト試行に迅速に適応し、検出を回避するための回転ドメインおよび動的に生成されたリダイレクトURLを組み込んでいることを示しています。
緩和策
セキュリティチームは9月29日にAppleにバックボタンハイジャック問題を報告し、Safariのpopstateイベント処理に対処するためのパッチを促しました。
ブラウザレベルの修正が展開されるまで、専門家は疑わしいリダイレクトに遭遇したときにユーザーがバックボタンを使用する代わりにSafariタブを閉じることを推奨しています。
広告ネットワークおよび出版者は、サードパーティの広告クリエイティブの精査を増加させ、より厳格なJavaScriptの検証ポリシーを実施する必要があります。
このキャンペーンは、見落とされたとしても、レガシーブラウザAPIが継続的なマルバーティジング悪用のベクトルになる可能性があることを示しています。
D-Shortiezグループが示すように、古いトリックは、特にプラットフォーム固有の癖がパッチされないまま放置されている場合、現代的な結果をもたらすことができます。
翻訳元: https://gbhackers.com/d-shortiez-exploits-webkit/
