Một tác nhân đe dọa được gọi là D-Shortiez đã tiến hành một chiến dịch malvertising dai dẳng, biến một hành vi của trình duyệt WebKit thành một cái bẫy. Chiến dịch tấn công mạng này buộc người dùng iOS Safari phải truy cập các trang lừa đảo mà không có cách thoát dễ dàng.

Mặc dù khái niệm này không hoàn toàn mới – các cuộc tấn công chuyển hướng bắt buộc đã tồn tại lâu dài trong hệ sinh thái gian lận quảng cáo trực tuyến – D-Shortiez đã giới thiệu một yếu tố kỹ thuật mới: một kỹ thuật chiếm quyền điều khiển nút quay lại (back-button hijack) ngăn chặn nạn nhân thoát khỏi trang đích độc hại.

Chiến dịch Malvertising D-Shortiez: Tổng quan và Quy mô

Bản chất Chiến dịch

Trong lịch sử gần đây của ngành quảng cáo, các chiến dịch chuyển hướng bắt buộc đã mất dần vị thế khi các nền tảng quảng cáo và nhà phát triển trình duyệt siết chặt các biện pháp phòng thủ.

Các tác nhân malvertising duy trì hoạt động này thường tồn tại bằng cách tận dụng những lợi thế kỹ thuật nhỏ mà họ tìm thấy.

Những lợi thế này thường tinh vi, bao gồm các hành vi kỳ lạ của trình duyệt, khoảng trống trong bộ lọc nền tảng quảng cáo hoặc các trường hợp biên trong cách các script thực thi trên các môi trường khác nhau. Những yếu tố này tổng hợp lại mang lại sự cải thiện đáng kể về khả năng tiếp cận và thời gian hoạt động của chiến dịch trước khi bị ngăn chặn.

Các nhà phân tích của Confiant đã xác định D-Shortiezlà một nhóm đang tích cực thực hiện các chiến dịch chuyển hướng bắt buộc, đẩy nạn nhân vào các chuỗi click độc hại dẫn đến các trò lừa đảo trực tuyến quen thuộc.

Cơ chế Chuyển hướng Bắt buộc

Kiểm tra kỹ lưỡng payload của nhóm cho thấy nó bắt đầu với các chức năng lấy dấu vân tay và theo dõi tiêu chuẩn, không có gì đáng lo ngại ngay lập tức.

Tuy nhiên, điều thu hút sự chú ý của các nhà nghiên cứu là cơ chế chuyển hướng, cụ thể là một khối `try/catch` lồng nhau bắt đầu từ dòng 211, xử lý việc chuyển hướng bắt buộc bằng cách kích hoạt nhiều nỗ lực chuyển hướng đồng thời.

Đây là một chiến thuật đã biết, vì các trình duyệt khác nhau phản ứng khác nhau với các lệnh gọi chuyển hướng và các tác nhân xấu đã học được rằng việc tung ra mọi thứ cùng lúc sẽ tối đa hóa khả năng thành công.

Quy mô và Đối tượng Mục tiêu

Quy mô của chiến dịch tấn công mạng này là đáng kể. Trong sáu tháng qua, D-Shortiez đã phân phát hơn 300 triệu lượt hiển thị quảng cáo độc hại.

Đối tượng mục tiêu chính là người dùng ở Hoa Kỳ, với phạm vi mở rộng sang Canada và một số khu vực ở Châu Âu. Nền tảng iOS là mục tiêu chính của nhóm này.

Hoạt động đã duy trì tốc độ khá ổn định kể từ tháng 8. Tuy nhiên, dữ liệu xu hướng cho thấy điều gì đó được tính toán hơn: các đợt phát tán với số lượng lớn, mạnh mẽ và sau đó là các khoảng dừng ngắn, một nhịp điệu cho thấy một nhóm đang tích cực quản lý dấu chân của mình trên môi trường mạng.

Kỹ thuật Khai thác Lỗ hổng Trình duyệt Safari

Cơ chế Back-Button Hijack

Khía cạnh kỹ thuật đặc biệt nhất của chiến dịch này là cách D-Shortiez khai thác sự kiện `popstate` của trình duyệt để ngăn nạn nhân thoát khỏi các trang lừa đảo trên Safari.

Payload sử dụng `window.top.history.pushState()` để chèn một mục giả mạo vào ngăn xếp lịch sử phiên của trình duyệt.

Một trình xử lý sự kiện `onpopstate` được liên kết với `window.top` sau đó sẽ bắt mọi lần nhấn nút quay lại và chuyển hướng người dùng đến URL lừa đảo, thêm một tham số “back”, thay vì đưa họ trở lại trang hợp pháp mà họ đã rời đi.

Điểm yếu của WebKit trên iOS

Khi được thử nghiệm trên tất cả các trình duyệt lớn, payload không tạo ra hành vi bất thường trong hầu hết các môi trường. Safari là ngoại lệ rõ ràng.

Trên iOS, script hoạt động chính xác như dự định, khóa hiệu quả nút quay lại và giữ nạn nhân bị mắc kẹt trên các trang lừa đảo mà không có lối thoát rõ ràng.

Hành vi này phản ánh các kỹ thuật bẫy trình duyệt cũ mà những kẻ lừa đảo đã sử dụng trong nhiều năm. Tuy nhiên, thay vì dựa vào các cửa sổ bật lên hoặc các yếu tố giao diện đánh lừa, D-Shortiez tận dụng một hành vi cụ thể của WebKit để đạt được hiệu quả tương tự một cách âm thầm và đáng tin cậy hơn.

Đây có thể được xem là một lỗ hổng zero-day trong giai đoạn nó bị khai thác trước khi có bản vá chính thức.

Hậu quả và Giải pháp Khắc phục

Lộ trình Vá lỗi và Cập nhật Bảo mật

Lỗ hổng bảo mật này đã được tiết lộ cho Apple vào ngày 29 tháng 9. Apple đã vá lỗi thông qua một bản vá bảo mật cho Safari được phát hành vào ngày 23 tháng 1, được xác định là HT213600.

Người dùng iOS và Safari chưa áp dụng bản cập nhật này vẫn trực tiếp bị ảnh hưởng bởi kỹ thuật chiếm quyền điều khiển nút quay lại này.

Chỉ số Thỏa hiệp (IOCs) của D-Shortiez

Các chỉ số thỏa hiệp (IOCs) của D-Shortiez trải rộng trên một mạng lưới rộng lớn các subdomain wildcard qua nhiều phần mở rộng tên miền cấp cao nhất (TLD). Các TLD này bao gồm:

• .shop
• .site
• .homes
• .beauty
• .skin
• .boats
• .cyou
• Và một số TLD khác

Khuyến nghị Bảo mật

Tất cả người dùng iOS và Safari nên cài đặt bản cập nhật bảo mật HT213600 của Apple mà không chậm trễ để loại bỏ lỗ hổng bảo mật cụ thể này khỏi thiết bị của họ.

Các nhóm an ninh và vận hành quảng cáo nên kiểm tra chuỗi cung ứng quảng cáo của mình để tìm kiếm các payload dựa trên chuyển hướng. Đồng thời, chặn tất cả các tên miền D-Shortiez IOC đã biết ở cấp độ DNS và mạng để ngăn chặn các cuộc tấn công mạng tương tự.