17/02/21
Мошенническая группировка ScamClub эксплуатирует уязвимость ( CVE-2021- 1801 ) в движке WebKit, используемом в различных web-браузерах, для перенаправления жертв на мошеннические сайты. За последние три месяца количество показов злонамеренной рекламы достигло 16 млн в день.
ScamClub известна распространением огромного количества вредоносной рекламы. Даже если большая часть рекламы оказывается заблокированной, ее объем настолько велик, что необнаруженные объявления приводят к значительному количеству злонамеренных показов в течение одной кампании.
Исследователь безопасности из компании Confiant Элия Штейн (Eliya Stein) обнаружил , что злоумышленники использовали уязвимость в движке WebKit, позволявшую обходить политику изолированной программной среды iframe. По словам эксперта, мошенники организовали вредоносную кампанию летом прошлого года, в ходе которой использовали новый метод, позволяющий вредоносному коду, который группировка обычно скрывает в рекламных объявлениях, выйти за пределы изолированной программной среды HTML-элемента iframe — системы безопасности, предотвращающей взаимодействие кода с базовым web-сайтом.
Используя особенность того, как движок Webkit обрабатывает EventListener (блок прослушивания события) JavaScript, мошенники из ScamClub в течение последних месяцев доставляют вредоносную рекламу, которая перенаправляла пользователей с легитимных сайтов на вредоносные домены, якобы предлагающие подарочные карты.
Уязвимость в WebKit была устранена в декабре 2020 года. Apple включила патч в версии WebKit, включенные в обновления, выпущенные для iOS и macOS в начале февраля. Как сообщили в компании, Apple решила проблему с помощью «улучшенного применения песочницы iframe».
С полным списком вредоносных доменов, используемых в текущей кампании, можно ознакомится здесь .
