Il gruppo di malvertising ScamClub ha utilizzato una vulnerabilità zero-day in WebKit (il motore di rendering delle pagine Web usato da molti browser tra cui Safari per macOS e iOS, Dolphin di Samsung, Opera, Amazon Kindle e Google Chrome nelle versioni per iOS e macOS) per iniettare payload capaci di reindirizzare gli utenti verso siti con truffe basate su carte regalo.
Secondo i ricercatori Confiant che hanno scoperto il bug oggi noto come CVE-2021-1801, negli ultimi tre mesi le campagne di malvertising hanno consentito al gruppo criminale di pubblicare fino a 16 milioni di annunci dannosi in un solo giorno.
La vulnerabilità zero-day in Webkit è stata segnalata ad Apple e al team di Google Chrome. La patch è attualmente inserita nell’ultimo update di sicurezza di Apple per iOS 14.4 e macOS Big Sur uscito questo mese.
Indice degli argomenti
La vulnerabilità in WebKit e la tecnica di attacco
La minaccia del malvertising non rappresenta di per sé una novità: si riferisce a quelle pubblicità online dannose, capaci di causare infezioni di malware o di tracciare l’attività degli utenti.
Il gruppo di attacco ScamClub ne ha però fatto un uso peculiare mediante la strategia di bombardamento coniugato allo sfruttamento della vulnerabilità 0-day in WebKit.
Per testare l’ipotesi alla base dell’attacco, il ricercatore Eliya Stein di Confiant ha creato un semplice file HTML contenente un iframe sandbox cross-origin e un pulsante esterno che, a sua volta, ha attivato un evento per accedere all’iframe e reindirizzare i clic a siti Web non autorizzati.
Questo ha permesso di supporre che se era avvenuto il reindirizzamento allora era stato lecito pensare ad un bug di sicurezza del browser, elemento che è stato confermato sui browser basati su WebKit.
Come avviene lo sfruttamento della vulnerabilità
Paolo Passeri, Cyber Intelligence Principal in Netskope e fondatore di Hackmageddon, spiega in dettaglio alcuni passaggi dell’attacco, chiarendo come premessa che le campagne di malvertising si basano sull’iniezione massiva di pubblicità malevola all’interno del browser che porta ad un reindirizzamento inconsapevole dell’utente verso siti fraudolenti (come nel caso del gruppo ScamClub) o direttamente a distribuzione di malware.
Normalmente, il controllo “allow-top-navigation-by-user-activation”, un attributo considerato sino ad oggi un’arma efficace contro il malvertising, impedisce esplicitamente qualsiasi reindirizzamento a meno che l’utente non effettui una azione specifica (evento clic) all’interno dell’iframe che dovrebbe causare il reindirizzamento.
Ebbene, la nuova vulnerabilità scoperta dai ricercatori Confiant consente di bypassare ovvero aggirare la policy di sandboxing iframe nel motore del browser che alimenta Safari e Google Chrome per iOS. Tale sandbox impedisce la redirezione a meno che non vengano eseguite opportune azioni, come ad esempio il clic su un pulsante, all’interno di uno specifico iframe.
La vulnerabilità CVE-2021-1801 consente di bypassare il controllo nel caso dei browser che utilizzano WebKit. In sostanza, anche compiendo l’azione all’esterno dell’iframe iniettata dagli attaccanti, è possibile subire la redirezione malevola.
È qui che la tecnica dell’inondazione ha la sua massima convenienza e rappresenta una peculiarità: l’attacco non dovrebbe avere successo dal momento che gli attaccanti dovrebbero inserire un controllo (dispatcher) all’esterno della propria iframe e forzare l’utente ad effettuare un’azione. Tuttavia, è qui che entra in gioco la natura massiva della campagna, composta da 50 milioni di annunci dannosi negli ultimi tre mesi, con picchi di 16 milioni di campioni malevoli serviti in un giorno.
Gli attaccanti hanno moltiplicato esponenzialmente gli “ami nello stagno, per aumentare il numero di pesci da far abboccare”, in un mix atipico composto da una campagna opportunistica di iniezione massiva di contenuti malevoli per sfruttare al meglio una vulnerabilità mirata ad uno specifico motore di browsing.
Le pagine web costituiscono oggigiorno entità complesse, con molteplici messaggi che spesso hanno wildcard come destinazione: un aspetto, questo, che consente agli attaccanti di intercettare azioni eseguite all’esterno dell’iframe iniettato e compiere la redirezione malevola grazie alla vulnerabilità 0-day sopra indicata.
Infine, un ulteriore aspetto interessante della campagna di malvertising condotta dal gruppo ScamClub, sottolineato da Paolo Passeri, è dato dall’utilizzo di Amazon S3 per ospitare il payload e rappresenta un ulteriore esempio in cui i criminali usano un servizio lecito in cloud a fini malevoli.
Gianluca Boccacci, ethical hacker esperto di cyber security e presidente dei Cyber Actors associazione di professionisti della cyber security nata per sensibilizzare il pubblico alla cultura della cyber security, aggiunge che il metodo, finora sconosciuto, utilizzato per bypassare la funzione di iframe sandboxing di WebKit utilizza un listener di eventi che quando raccoglie un messaggio, attiva il reindirizzamento.
Questo aumenta di gran lunga le possibilità che gli utenti vengano reindirizzati ai siti web truffaldini senza fare clic effettivamente all’interno dell’iframe.
Chi è il gruppo ScamClub
Attivi da almeno diversi anni, i componenti di ScamClub, effettuano campagne di malvertising che effettuano re-indirizzamenti forzati verso siti contenenti offerte “imperdibili” di premi o carte regalo verso gli utenti con l’intento di truffarli.
Dal punto di vista tattico, questo team attaccante piuttosto che passare inosservato e silente, storicamente predilige la cosiddetta strategia di “bombardamento” per la quale, “inonda” l’ecosistema target di tonnellate di pubblicità, consapevole che la maggior parte di essa sarà bloccata da sistemi di adblocking ed altrettanto speranzoso che la piccola percentuale che riuscirà a passare, sarà sufficiente a generare danni significativi.
Gianluca Boccacci precisa che gli scammers noti come ScamClub costituiscono uno tra i gruppi più famosi assieme a RunPMK, eGobbler e Zirconium e sono tornati alla ribalta sfruttando una vulnerabilità dei browser che usano Webkit ossia il motore di rendering utilizzato da Safari, ma adottato anche da Opera e Midori.
Il fatto che queste campagne di malvertising fossero attive fin dal giugno 2020 fa capire quanto tempo ci voglia prima che uno 0-day di questo tipo venga conosciuto almeno nella porzione web Surface (ovvero è possibile che negli ambienti del Dark Web questa conoscenza fosse già nota n.d.r.) e fa riflettere su quante vittime, nel frattempo, possano aver mietuto i truffatori, fino alla distribuzione della patch. Infatti, il problema è stato scoperto a Dicembre 2020 ma Apple ha distribuito le patch solo nel mese di febbraio 2021.
I consigli per non cadere nella trappola della nuova truffa
La timeline della disclosure parte dal 22 giugno 2020 con la scoperta di Confiant del payload di ScamClub. Il giorno dopo è stata avvisata sia Apple sia il team di Google Chrome che su iOS utilizza WebKit. Tuttavia, la patch è stata emessa all’inizio di dicembre mentre la pubblicazione della CVE e l’avviso sono stati pubblicati solo lo scorso primo febbraio nell’ultimo update di sicurezza di Apple per iOS 14.4 e macOS Big Sur.
Cofiant ha reso disponibili gli IoC in formato STIX al seguente link di GitHub, mentre alcuni dettagli dell’analisi del payload sono disponibili nel blog post pubblicato dal ricercatore Elyia Stein.
I consigli per proteggersi dai Web tracker
In generale, si consiglia di non eseguire clic su link sconosciuti, diffidare di messaggi o link relativi a buoni regalo o fantomatici premi e adottare un adblocker in grado di bloccare il tracciamento non autorizzato sul Web.
