O malvertising é o uso de publicidade on-line para espalhar malware. Geralmente envolve a injeção de anúncios maliciosos ou carregados de malware em redes e páginas da web legítimas de publicidade on-line, e nos últimos seis meses, um grupo criminoso (chamado eGobbler) especializado nisso aproveitou dois bugs de navegadores no iOS para ignorar as proteções de segurança e exibir anúncios pop-up intrusivos a fim de redirecionar os usuários para sites maliciosos.

Segundo o ZDNet, o eGobbler normalmente opera em pequenas atividades que duram apenas alguns dias. A atuação acontece da segunte forma: o grupo compra anúncios em serviços legítimos, mas injeta código malicioso nos anúncios, para que suas explorações executem ações maliciosas nos navegadores dos usuários, sem restrições. Esses sites maliciosos hospedam fraudes ou downloads associados a malware.

O principal alvo do grupo mal-intencionado são os dispositivos móveis, onde a maioria dos usuários não emprega bloqueadores de anúncios e os navegadores não são tão protegidos contra explorações quanto as versões desktop, tornando as ações mais eficazes. Além disso, o grupo também encontra erros no código fonte dos navegadores. Em abril, o eGobbler rompeu as proteções do Chrome para iOS, graças a um bug (CVE-2019-5840) que acabou recebendo um patch em junho, quando o Google lançou o Chrome 75, com uma correção. Mesmo assim, o eGobbler continuou a usá-lo, porque os usuários que não conseguiam atualizar o navegador.

eGobbler aproveitou falhas no Chrome para iOS e no Safari, da Apple

A Confiant, uma empresa de cibersegurança especializada em rastrear campanhas de malvertising, disse na semana passada para o ZDNet que o eGobbler encontrou um segundo bug no verão, logo após os desenvolvedores do Google corrigirem a exploração do Chrome para iOS. Esse novo bug afeta o WebKit, um motor de renderização utilizado em navegadores web para renderizar páginas, usado pelo Safari e pelo Chrome. O grupo mal-intencionado usa uma função JavaScript que é executada a cada pressionamento de tecla. Por enquanto, de acordo com a Confiant, apenas a Apple corrigiu esse problema, com o lançamento do iOS 13, mas o Google ainda não lançou uma correção, o que significa que os usuários do Chrome ainda estão vulneráveis.

O grupo agora também tem como alvo navegadores baseados em desktop. A Confiant disse que entre 1º de agosto e 23 de setembro, a equipe viu o grupo eGobbler enviar código de publicidade maliciosa com um volume de anúncios estimado em 1,16 bilhão. Usuários europeus são os mais atingidos, principalmente os italianos.

Fonte: ZDNet