专门提供透明度及广告验证解决方案的The Media Trust在本周披露了一起锁定iPhone用户的恶意广告活动,黑客在上百个新闻网站上植入了恶意广告,以将iPhone用户跳转至网络钓鱼网站,窃取iPhone用户的凭证,甚至可挟持iPhone浏览器。
The Media Trust将该恶意广告活动命名为Krampus-3PC,指称它是一个非常先进的恶意活动,在绝大多数的黑客都只使用一种方式来重新定向用户的流量之际,Krampus-3PC不但有备案,还采用两种混淆的手法来闪避侦测与封锁工具,除此之外,它还能访问浏览器的工作阶段,包括cookie在内,让黑客得以登录用户其它的网络服务。
The Media Trust是在10月侦测到Krampus-3PC活动,移动用户只要访问被危害的新闻或杂志网站,它会先跳出一个恶意广告,之后黑客会检查所访问的设备是否为iPhone,确定之后即会将用户的数据发送到C&C服务器,同时将用户重新定向至另一个跳出窗口的恶意广告,假设该定向失败了,其备案是在分页中加载恶意网页,以确保可将用户跳转至恶意广告。
黑客其实是借由广告平台在上百个出版商网站上投放恶意广告,再锁定iPhone用户展开攻击,属于近来流行的供应链攻击。
当iPhone用户点击了伪称中奖的恶意广告之后,黑客不但诱导用户输入个人信息,也趁机窃取浏览器工作期间的信息,包括Cookie ID、Webpage的本地存储数据及沙箱状态等,其中的Cookie ID将允许黑客挟持浏览器,假设用户在浏览器上打开了银行或电子商务网站,黑客也能访问用户账号。
The Media Trust的目的在于说服出版商应该采用更严格的安全措施,包括慎选广告合作平台,也应扫描网站及广告程序代码,以避免陷读者于安全风险中。