По данными исследователей, за атаками стоит хак-группа под названием ScamClub, активная с 2018 года. Как ранее уже рассказывали специалисты, в целом тактика группировки проста: обычно злоумышленники скупают большое количество рекламных мест на нескольких платформах, надеясь, что хотя бы некоторые из вредоносных объявлений в итоге пройдут проверки безопасности. Даже если большая часть рекламы будет заблокирована, попавших в публикацию объявлений в итоге будет достаточно для полномасштабной кампании.
Как правило, группировка нацелена на пользователей iOS и с помощью вредоносной рекламы перенаправляет их на мошеннические сайты, где у жертв пытаются выманить финансовую информацию. Обычно пользователям сообщали, что они выиграли подарочную карту от известного бренда.
Новая операция ScamClub, стартовавшая еще прошлым летом, стоится по тому же принципу, но на этот раз хакеры использовали уязвимость, которая позволяла вредоносному коду совершить побег из песочницы HTML-элемента iframe. Корень проблемы заключался в том, как Webkit работает с JavaScript слушателями событий (event listeners). Так как баг крылся в коде WebKit, уязвимости были подвержены Apple Safari и Google Chrome для iOS.
Хотя исследователи уведомили Apple и Google о проблеме еще летом прошлого года, патч был выпущен лишь в декабре, и исправление достигло Safari для macOS и iOS только в этом месяце.«Только за последние 90 дней ScamClub показали свою вредоносную рекламу более 50 000 000 раз. Причем это базовый уровень активности, которой дополняется частыми всплесками — за один день количество показов объявлений может превышать 16 000 000», — пишут эксперты.
Специалисты Confiant опубликовали список доменов, где группа ScamClub размещала свои мошеннические сайты с фейковыми подарочными картами, их адреса можно увидеть на иллюстрации ниже.