В мире цифровой рекламы и браузерной безопасности наблюдается постоянная эволюция: по мере усиления защитных механизмов рекламных платформ и самих браузеров, киберпреступники вынуждены искать новые, всё более изощрённые методы для обхода фильтров. Особенно это касается так называемых форсированных перенаправлений (forced redirect), когда пользователь, даже не нажимая на ссылку, автоматически перебрасывается на мошеннический сайт. Многие подобные схемы, нацеленные на премиальных издателей и крупные рекламные сети, со временем были нейтрализованы. Однако оставшиеся активными злоумышленники применяют малоизвестные технические приёмы для получения преимущества и максимизации охвата аудитории. Одним из таких примеров стала недавно обнаруженная кампания группы, аналитики которой присвоили условное название D-Shortiez. Их тактика включает эксплуатацию особенности работы истории браузера в Safari, что позволяет эффективно блокировать стандартную навигацию пользователя.
Описание
В ходе расследования специалисты обратили внимание на механизм перенаправления, используемый в вредоносном скрипте. Большая часть кода представляет собой стандартные функции сбора цифровых отпечатков браузера (fingerprinting) и отслеживания, однако ключевой фрагмент, начинающийся со строки 211, привлёк особое внимание. Он содержит попытку принудительного редиректа, обёрнутую в конструкцию try/catch - распространённую практику, так как разные браузеры по-разному реагируют на различные методы переадресации. Злоумышленники просто перебирают все возможные варианты, чтобы повысить шансы на успех. Однако следующая последовательность команд оказалась нетипичной: скрипт проверяет поддержку API "history.pushState", а затем использует его для манипуляции историей браузера. После этого он назначает обработчик события "popstate", которое срабатывает при изменении активной записи в истории, например, при нажатии пользователем кнопки «Назад».
| 1 2 3 4 5 6 7 8 9 | redirectUrl = ‘http://google.com/search?q=’; if (window.top.history && window.top.history.pushState) { window.top.history.pushState(null, null, ‘’); window.top.onpopstate = function (event) { window.top.location.href = redirectUrl + ‘back’; }; let u1 = redirectUrl + ‘click’; window.top.document.body.addEventListener(’click’, function () { window.top.location.href = u1; }, true); } |
Именно здесь и кроется уязвимость. В нормальных условиях "pushState()" добавляет запись в историю браузера, а событие "onpopstate" позволяет обработать возврат.
Злоумышленники, используя эту логику, подменяют стандартное поведение. После добавления пустой записи в историю, они назначают обработчик, который при попытке вернуться назад (срабатывании "onpopstate") не выполняет навигацию назад, а вместо этого принудительно перенаправляет пользователя на заранее подготовленный мошеннический URL с добавлением параметра «back». Дополнительно скрипт может перехватывать клики по странице, отправляя пользователя по другому адресу. Для проверки гипотезы исследователи воссоздали тестовый вариант полезной нагрузки и протестировали его во всех основных браузерах, включая Chrome, Firefox и Edge. Результаты оказались ожидаемыми: в большинстве окружений скрипт не демонстрировал аномального поведения. Однако в случае с Safari, а точнее, с движком WebKit, который лежит в его основе и также используется в других браузерах Apple, была выявлена проблема.
В Safari описанная схема работает как эффективный захват кнопки «Назад», сравнимый с техниками «блокировки браузера» (browlock), которые используют онлайн-мошенники. Жертва, перейдя на scam-сайт (например, с фейковой лотереей, требованием оплаты или установки вредоносного ПО), не может покинуть его стандартным способом. Любая попытка нажать кнопку «Назад» или соответствующую комбинацию клавиш приводит не к возврату на предыдущую страницу, а к новому перенаправлению в рамках того же мошеннического домена, фактически запирая пользователя в ловушке. Это значительно повышает эффективность мошеннической схемы, увеличивая время взаимодействия жертвы с вредоносным контентом и, как следствие, вероятность финансовых потерь или компрометации данных.
Что касается масштабов кампании, то за последние шесть месяцев D-Shortiez показали более 300 миллионов вредоносных рекламных показов. Основной целевой аудиторией являются пользователи из США, с меньшим, но значительным охватом Канады и Европы. Активность группы с августа была довольно стабильной, с заметными агрессивными всплесками и короткими паузами между ними. Ключевой платформой для атак выбрана iOS, что логично, учитывая обнаруженную особенность WebKit, поскольку Safari является браузером по умолчанию и имеет значительную долю на рынке мобильных устройств Apple. Инцидент был зарегистрирован и передан компании Apple ещё 29 сентября, а исправление было выпущено лишь 23 января в рамках обновления безопасности Safari. Такая задержка в несколько месяцев оставила миллионы пользователей потенциально уязвимыми для данной атаки.
С технической точки зрения, эта кампания демонстрирует, как злоумышленники переходят от грубых силовых методов к тонкой эксплуатации особенностей реализации веб-стандартов в конкретных браузерах. Уязвимость, строго говоря, не является критической ошибкой в коде, скорее, это неожиданное или не до конца продуманное поведение API истории браузера в связке с событиями навигации в WebKit. Подобные приёмы сложнее обнаружить автоматическими системами фильтрации рекламного трафика, которые часто ищут явные признаки вредоносного кода, но могут пропускать легитимные, хотя и используемые во зло, JavaScript-функции.
Для специалистов по информационной безопасности и администраторов корпоративных сетей данный кейс служит важным напоминанием. Во-первых, необходимо обеспечить своевременное обновление всех браузеров, особенно на мобильных устройствах сотрудников, используемых для работы. Во-вторых, стоит рассмотреть дополнительные меры защиты на уровне сети, такие как использование DNS-фильтрации для блокировки известных мошеннических и рекламных доменов, а также развёртывание продвинутых систем защиты веб-гейтов (Secure Web Gateway), способных анализировать поведение JavaScript-кода на страницах. Для конечных пользователей основной рекомендацией остаётся бдительность: при попадании на сайт, блокирующий навигацию, следует не пытаться безуспешно нажимать «Назад», а сразу закрыть вкладку или всё окно браузера через меню или комбинацию клавиш. В долгосрочной перспективе подобные инциденты подчёркивают необходимость более тесного взаимодействия между исследователями безопасности и вендорами браузеров для оперативного устранения подобных особенностей, которые могут быть обращены во вред.
Индикаторы компрометации
Domains
- *.a-b.beauty
- *.a-b.pics
- *.a-e.beauty
- *.a-f.site
- *.a-o.beauty
- *.a-o.homes
- *.a-p.pics
- *.a-z.skin
- *.b-c.beauty
- *.b-f.beauty
- *.b-qv.shop
- *.b-s.boats
- *.c-a.boats
- *.c-a.cyou
- *.c-b.beauty
- *.c-b.site
- *.c-b.skin
- *.c-c.autos
- *.c-d.homes
- *.c-f.beauty
- *.c-g.site
- *.c-t.beauty
- *.d-e.boats
- *.d-f.site
- *.d-g.autos
- *.d-y.online
- *.e-g.store
- *.e-h.homes
- *.e-p.autos
- *.e-q.boats
- *.e-t.site
- *.e-v.boats
- *.e-z.homes
- *.f-b.boats
- *.f-dk.shop
- *.f-f.site
- *.f-o.boats
- *.f-p.homes
- *.f-q.autos
- *.f-t.beauty
- *.f-t.skin
- *.g-c.homes
- *.g-e.pics
- *.g-j.site
- *.g-j.skin
- *.g-jm.online
- *.g-o.homes
- *.g-p.pics
- *.h-k.site
- *.j-d.boats
- *.j-h.beauty
- *.k-bd.online
- *.k-g.site
- *.k-j.homes
- *.k-u.site
- *.m-fl.shop
- *.m-k.homes
- *.n-s.store
- *.n-y.skin
- *.o-b.homes
- *.o-b.shop
- *.o-b.site
- *.p-a.homes
- *.q-c.homes
- *.q-h.site
- *.q-j.online
- *.r-j.pics
- *.r-k.group
- *.s-a.homes
- *.s-f.homes
- *.s-g.boats
- *.s-h.homes
- *.s-o.fun
- *.s-p.autos
- *.s-t.website
- *.s-w.fun
- *.t-g.skin
- *.t-i.site
- *.t-n.beauty
- *.t-o.beauty
- *.t-y.website
- *.u-c.cyou
- *.v-e.boats
- *.v-e.cyou
- *.v-e.homes
- *.v-g.skin
- *.v-hi.shop
- *.v-i.online
- *.v-k.site
- *.v-mh.online
- *.v-n.homes
- *.v-t.homes
- *.w-h.pics
- *.w-t.homes
- *.x-u.homes
- *.x-y.store
- *.y-b.online
- *.y-j.pics
- *.y-m.site
