恶意广告活动利用 WebKit 0day 实施欺诈

三个月来，一天中恶意广告的最高曝光次数可高达1600万次。

ScamClub 恶意广告活动以其噪音技巧臭名昭著，它们以恶意广告堵塞广告生态系统，寄望于比例较小的广告能混入其中。即使大部分广告遭拦截，但由于数量庞大，总有数量不少的恶意广告未被检测到。面对这种“轰炸策略”，广告安全和质量控制公司 Confiant 表示，重定向率仅仅提升1%就意味着每次恶意广告活动中的“数万次曝光量”。

2020年6月，Confiant 公司的研究员在分析这些恶意活动时，注意到该 payload 通过一个事件监听器混淆了四行代码。

Confiant 公司的安全工程师兼研究员 Eliya Stein 发现该恶意活动利用的是 WebKit 中的一个漏洞，绕过了内联框架 (iframe) 的沙箱策略。进一步调查后，Stein 删除了不必要的代码并启动了一个简单的 HTML 文件。该文件具有跨源沙箱帧和调度该事件的按钮，而该payload 是监听器。

Stein 注意到以上 PoC 代码中的 “allow-top-navigation-by-user-activation（允许通过用户激活的导航条）“沙箱属性应该能够阻止任意重定向。如果未发生正确的激活，则成立；而在这种情况下用户激活意味着在内联框架中点击，“这意味着我们的 PoC 在任何情况下都不应该运作。clickMe 按钮毕竟位于沙箱内联框架外。然而，如果它确实重定向，则意味着我们手里握有一个浏览器安全漏洞，而我们在基于 WebKit 的浏览器即桌面和 iOS 系统上的 Safari 浏览器上测试后发现确实如此。”

虽然从理论上而言，这样做可以阻止恶意重定向，但 Stein 解释称当代web应用程序中带有通配符目的地的信息很常见，通常发生在用户交互时。鉴于 ScamClub 目标广泛且发送的恶意广告数量庞大，某些恶意广告仍然可溜入广告生态系统并产生重大影响。如下是 ScamClub 恶意广告活动中所使用的域名。

研究人员指出，90天来，ScamClub 组织的广告曝光量超过5000万次，最高峰一天内高达1600万次。

由于 iOS 和 Safari 上的 Chrome 也基于 Chrome，Stein 将研究成果同时发送给 Apple 安全和 Google Chrome 团队。2020年12月2日，WebKit 也收到补丁，且获得 CVE-2021-1801 的编号。

研究人员在 GitHub 仓库中发布了 IoCs，其中包括 Amazon 云中的 payload 以及最近的 ScamClub 活动中使用的域名。仓库地址可见：

https://github.com/WeAreConfiant/security/blob/master/stix-feeds/scamclub.stix.json

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。