Εκατομμύρια χρηστών που επισκεφτήκανε διάφορες σελίδες με μεγάλη επισκεψιμότητα εκτέθηκαν σε μια καινούργια μορφή malware το όποιο κρύβει τον κώδικα του στα pixel των διαφημιστικών banner.
Ερευνητές της Eset του δώσανε το όνομα "Stegano", αναφέρουν πως υπάρχει από το 2014. Ξεκινώντας απο τον Οκτώβριο οι κατασκευαστές του καταφέρανε να ανεβάσουν αυτά τα banner σε πάρα πολλές σελίδες ενημέρωσης το κάθε ένα με εκατομμύρια επισκέψεις την ημέρα.
Το Stegano, κρύβει τον εαυτό του μέσα στον κώδικα που ελέγχει την διαφάνεια κατά την εμφάνιση ενος banner, αυτό έχει σαν αποτέλεσμα μια μικρή μεταβολή του τόνου των χρωμάτων η όποια όμως είναι σχεδόν αόρατη με μια απλή ματιά.
Ο κακόβουλος κώδικας κρύβεται στο κανάλι alpha, που ορίζει την διαφάνεια των γραφικών έτσι είναι σχεδόν αδύνατο να εντοπιστεί απο τα δίκτυα διαφημίσεων. Μόλις ο κώδικας εξακριβώσει οτι ο Browser που τρέχει δεν τρέχει σε κάποιο Virtual περιβάλλον ή μαζί με κάποιο λογισμικό που θα μπορούσε να τον εντοπίσει, ανακατευθύνει τον χρήστη σε μια σελίδα που κάνει χρήση τριών επιθέσεων προς ευπάθειες του Flash player (οι τελευταίες εκδόσεις του είναι ασφαλείς ).
Σύμφωνα με την Eset
Τα Banner διαφήμιζαν εφαρμογές όπως "browser defence" και "Broxu" και είχανε στόχο χρήστες που κάνανε χρήση του Internet Explorer, ο κρυμμένος κώδικας έκανε χρήση ενος κενού ασφαλείας του IE (το όποιο έχει διορθωθεί τώρα, CVE-2016-0162) ώστε να πάρει πληροφορίες για τον υπολογιστή του χρήστη. Ανάμεσα σε αυτές ήταν και το αν έτρεχε κάποιο πρόγραμμα sandbox, visualization καθώς και εφαρμογές ασφαλείας. Αν δεν έβρισκε κάτι και στο μηχάνημα υπήρχε ευπαθή έκδοση flash player τότε έστελνε τον χρήστη στην κακόβουλη σελίδα που εκτελούσε το Malware στον υπολογιστή."We can say that even some of the other major exploit kits, like Angler and Neutrino, are outclassed by the Stegano kit in terms of referrals—the websites onto which they managed to get the malicious banners installed," Eset researchers wrote in a report published Tuesday. "We have observed major domains, including news websites visited by millions of people every day, acting as 'referrers' hosting these advertisements. Upon hitting the advertising slot, the browser will display an ordinary-looking banner to the observer. There is, however, a lot more to it than advertising."
Υπήρχαν δυο ειδών Malware, και τα δυο με δυνατότητες να υποκλέψουν στοιχεία, αλλά και να δράσουν σαν "πίσω πόρτα" για πρόσβαση στον υπολογιστή του χρήστη.The Ursnif family is made up mainly of modules for stealing e-mail credentials, logging keystrokes, taking screenshots and videos, and acting as a backdoor. The Ramnit variety of malware offers most of the same capabilities and mainly targets the banking industry.
Οι κατασκευαστές του προσπαθήσανε να το στήσουνε έτσι ώστε να μην περάσει σε χρήστες που πρόσεχαν την ασφάλεια τους ώστε να μην μπορέσει να εντοπιστεί, μαζί με τους έλεγχους που έκανε ο κώδικας στον υπολογιστή, υπήρχε και άλλος έλεγχος απο τον server που είχε το Malware.
Για την εκτέλεση του χρησιμοποιούσε JavaScript όπως περιγράφεται παρακάτω:
Αν και ο στόχος του Stegano ήταν χρήστες που δεν είχανε ενημερωμένες εκδόσεις Internet Explorer και Flash player, αυτό που ξεχωρίζει είναι το ότι κρύψανε τον κώδικα στα Pixel των διαφημίσεων, κανείς δεν μπορεί να είναι σίγουρος ότι δεν τρέχουν αυτή την στιγμή διαφημίσεις με κώδικα που να κάνει χρήση άλλων ευπαθειων.To execute the hidden payload, the malicious ads load a heavily modified version of Countly, an open-source package for measuring website traffic. That JavaScript extracts the hidden code out of the image and executes it. Because there's nothing per se malicious in the JavaScript, ad networks fail to detect what's happening. Referring to an ad located at hxxps://browser-defence.com/ads/s/index.html?w=160&h=600, Eset researchers described it this way:
Πηγή : ArsTechnica
Εμφάνιση 1-6 από 6
-
07-12-16, 19:59 Εκατομμύρια χρήστες εκτέθηκαν σε malware κρυμμένο μέσα στα γραφικά των διαφημίσεων #1
-
07-12-16, 21:25 Απάντηση: Εκατομμύρια χρήστες εκτέθηκαν σε malware κρυμμένο μέσα στα γραφικά των διαφημίσεων #2
Ακόμα ένας λόγος να έχεις κάποιο Ad Blocker......
-
07-12-16, 21:49 Απάντηση: Εκατομμύρια χρήστες εκτέθηκαν σε malware κρυμμένο μέσα στα γραφικά των διαφημίσεων #3
O IE τρεχει απο προεπιλογη σε low mode απο εποχη vista αν θυμαμαι καλα.
-
08-12-16, 00:57 Re: Απάντηση: Εκατομμύρια χρήστες εκτέθηκαν σε malware κρυμμένο μέσα στα γραφικά των διαφημίσεων #4
και ρυθμισμένο για να μην περνάει καμία διαφήμιση.
Οι browsers κατα προτίμησιν να τρέχουν μέσα σε sandboxie. Και να έχουμε NoScript.
-
08-12-16, 08:24 Απάντηση: Re: Απάντηση: Εκατομμύρια χρήστες εκτέθηκαν σε malware κρυμμένο μέσα στα γραφικά των διαφημίσεων #5
-
08-12-16, 13:41 Re: Απάντηση: Re: Απάντηση: Εκατομμύρια χρήστες εκτέθηκαν σε malware κρυμμένο μέσα στα γραφικά των διαφημίσεων #6
Παρόμοια Θέματα
-
Η Marshmallow ξεπερνάει σε χρήση την KitKat στα στατιστικά χρήσης Δεκεμβρίου
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 34Τελευταίο Μήνυμα: 08-12-16, 05:05 -
Το Facebook "πέθανε" από λάθος 2 εκατομμύρια χρήστες του
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 22Τελευταίο Μήνυμα: 22-11-16, 15:05 -
Τετράδα ευπαθειών σε chips της Qualcomm εκθέτει εκατομμύρια Android συσκευές σε κίνδυνο
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 33Τελευταίο Μήνυμα: 13-08-16, 00:23 -
Malware χρησιμοποιεί το God Mode των Windows για να δυσκολέψει τον εντοπισμό και αφαίρεση του
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 3Τελευταίο Μήνυμα: 04-05-16, 08:01 -
Σε αναζήτηση ενδιαφέροντος πάνω στα δίκτυα
Από kalodios στο φόρουμ Εκτός θέματοςΜηνύματα: 1Τελευταίο Μήνυμα: 29-12-15, 20:58
Bookmarks