eGobbler – Malvertising Angriffe auf iOS über einen Chrome Bug


Eine Welle von Malvertising Angriffen hat während der Osterfeiertage insbesondere US-Nutzer im Visier gehabt. Auch aus Europa werden einzelne Fälle berichtet. Die Schadsoftware nutzt dabei eine bisher ungepatchten Bug im Chrome Browser aus. Betroffen sind davon jedoch derzeit nur iOS Geräte, also iPhones und iPads, und dort auch nur bei der aktiven Nutzung des Chrome-Browsers.

Laut Angaben des US-Sicherheitsunternehmens Confiant, welches die Kampagne entdeckt hat, wurden seit dem 06.April. 2019 über 500 Millionen solcher Werbeanzeigen ausgespielt. Dabei verteilt sich diese Kampagne auf 8 „Werbekampagnen“ mit etwa 30 unterschiedlichen “Anzeigen”.

Die eGobbler Malware verschleiert Ihre Payload dabei in populären, client-seitigen JavaScript Bibliotheken wie GreenSock. Eine kurze Lebensdauer von 24-48 Stunden pro Kampagne erschwert dabei eine Erkennung.   

eGobbler Pop-UP (Source: https://blog.confiant.com)

Nur Chrome betroffen

eGobbler nutzt dabei eine Schwachstelle in Chrome Browser aus. Diese verhindert eigentlich das unkontrollierte Aufpoppen von Pop-Ups. Aktuell versprechen die Pop-Ups dann Gutscheine oder Gewinne von Smartphones und leiten die Nutzer vorwiegend auf manipulierte Webseiten auf der Top Level Domain .world weiter.

In wie fern welche Schadsoftware sich über eGobbler aktiv verbreitet, wird von Sicherheitsforschern derzeit noch genauer untersucht. Wir raten selbstverständlich dringend davon ab, persönliche Daten auf solchen Webseiten mit fragwürdigen Gewinnversprechen einzutragen.

Schwachpunkt Werbenetzwerke

Um sich verbreiten zu können nutzt die Malware dabei Schwachstellen im Sandboxing-System der Werbenetzwerke aus und gelangt erst somit auch auf populäre und häufig besuchte Webseiten.  

Betroffen sind dabei einzig Chrome Nutzer auf iOS Geräten, auch wenn es derzeit Gerüchte gibt, dass sich die Malvertising Kampagne auch auf den Safari-Browser von Apple erstreckt. Bestätigt ist dieses jedoch bisher nicht.

Pop-Up und Ad Blocker bieten zusätzlichen Schutz

Laut Angaben des britischen IT-Sicherheitsunternehmens Sophos im NakedSecurity Blog bieten auch zusätzliche Sicherheitsapps wie ein Pop-Up oder Werbeblocker zusätzlichen Schutz vor der eGobbler Malvertising Kampagne.

Wir empfehlen deshalb iPhone und iPad Nutzern bis auf weiteres auf andere Browser wie Firefox, Opera oder den Ad Block-Browser von eyeo zu setzen.