นักวิจัยพบแคมเปญ Malvertising ใหม่ที่ใช้โหว่แบบ Zero-day ใน WebKit เพื่อรีไดเร็คผู้ใช้ไปยังเว็บไซต์ที่ไม่เหมาะสม

นักวิจัยด้านความปลอดภัยจากบริษัท Confiant บริษัทรักษาความปลอดภัยทางไซเบอร์ได้เปิดเผยถึงการค้นพบแคมเปญ Malvertising ของกลุ่ม ScamClub ที่ใช้ช่องโหว่แบบ Zero-day ในเว็บเบราว์เซอร์ที่ใช้ WebKit engine ในการส่งเพย์โหลดเพื่อรีไดเร็คผู้ใช้จากพอร์ทัลที่ถูกต้องไปยังเว็บไซต์ที่ไม่เหมาะสมและจะแสดงโฆษณาที่เป็นอันตรายต่อผู้ใช้

ตามรายงานของ Confiant ได้ระบุว่าการโจมตีแคมเปญดังกล่าวพบครั้งแรกในเดือนมิถุนายนปี 2020 และยังคงดำเนินอยู่ในปัจจุบัน กลุ่มที่อยู่เบื้องหลังการโจมตีคือกลุ่มที่รู้จักกันในชื่อ ScamClub ซึ่งเป็นกลุ่มที่ดำเนินธุรกิจโดยการซื้อช่องโฆษณาจำนวนมากบนหลายแพลตฟอร์ม โดยกลุ่ม ScamClub มักกำหนดเป้าหมายผู้ใช้ iOS ด้วยโฆษณาที่เป็นอันตรายซึ่งมักจะรีไดเร็คผู้ใช้ไปยังเว็บไซต์ที่ที่ไม่เหมาะเพื่อทำการหลอกลวงผู้ใช้ทางออนไลน์และพยายามรวบรวมข้อมูลทางการเงินของผู้ใช้

ช่องโหว่ Zero-day ในโอเพนซอร์ส WebKit ถูกติดตามด้วยรหัส CVE-2021-1801 และถูกค้นพบโดยวิศวกรรักษาความปลอดภัยจาก Confiant และนักวิจัย Eliya Stein ซึ่งพบว่าการโจมตีได้อาศัยช่องโหว่ใน WebKit เพื่อทำการส่งเพย์โหลดยังผู้ใช้และทำการรีไดเร็คผู้ใช้จากพอร์ทัลที่ถูกต้องไปยังเว็บไซต์ที่ไม่เหมาะ

เนื่องจาก WebKit ถูกใช้ใน Safari ของ Apple และ Google Chrome สำหรับ iOS ทาง Stein จึงได้ทำการรายงานช่องโหว่ที่ค้นพบไปยังทีมของ Apple Security และทีมของ Google Chrome WebKit ซึ่ง WebKit ได้รับการแก้ไขช่องโหว่และออกแพตช์ความปลอดภัยแล้วในวันที่ 2 ธันวาคม 2020 ที่ผ่านมา

ทั้งนี้ Confiant ได้ทำการรวบรวม Indicators of compromise (IoCs) ลงใน GitHub ผู้ที่สนใจ IoCs แคมเปญของกลุ่ม ScamClub สามารถติดตามได้ที่: https://github.