Εμφάνιση 1-6 από 6
  1. #1
    Το avatar του μέλους sdikr
    sdikr Guest
    Security
    Εκατομμύρια χρηστών που επισκεφτήκανε διάφορες σελίδες με μεγάλη επισκεψιμότητα εκτέθηκαν σε μια καινούργια μορφή malware το όποιο κρύβει τον κώδικα του στα pixel των διαφημιστικών banner.

    Ερευνητές της Eset του δώσανε το όνομα "Stegano", αναφέρουν πως υπάρχει από το 2014. Ξεκινώντας απο τον Οκτώβριο οι κατασκευαστές του καταφέρανε να ανεβάσουν αυτά τα banner σε πάρα πολλές σελίδες ενημέρωσης το κάθε ένα με εκατομμύρια επισκέψεις την ημέρα.
    Το Stegano, κρύβει τον εαυτό του μέσα στον κώδικα που ελέγχει την διαφάνεια κατά την εμφάνιση ενος banner, αυτό έχει σαν αποτέλεσμα μια μικρή μεταβολή του τόνου των χρωμάτων η όποια όμως είναι σχεδόν αόρατη με μια απλή ματιά.

    Ο κακόβουλος κώδικας κρύβεται στο κανάλι alpha, που ορίζει την διαφάνεια των γραφικών έτσι είναι σχεδόν αδύνατο να εντοπιστεί απο τα δίκτυα διαφημίσεων. Μόλις ο κώδικας εξακριβώσει οτι ο Browser που τρέχει δεν τρέχει σε κάποιο Virtual περιβάλλον ή μαζί με κάποιο λογισμικό που θα μπορούσε να τον εντοπίσει, ανακατευθύνει τον χρήστη σε μια σελίδα που κάνει χρήση τριών επιθέσεων προς ευπάθειες του Flash player (οι τελευταίες εκδόσεις του είναι ασφαλείς ).

    Σύμφωνα με την Eset
    "We can say that even some of the other major exploit kits, like Angler and Neutrino, are outclassed by the Stegano kit in terms of referrals—the websites onto which they managed to get the malicious banners installed," Eset researchers wrote in a report published Tuesday. "We have observed major domains, including news websites visited by millions of people every day, acting as 'referrers' hosting these advertisements. Upon hitting the advertising slot, the browser will display an ordinary-looking banner to the observer. There is, however, a lot more to it than advertising."
    Τα Banner διαφήμιζαν εφαρμογές όπως "browser defence" και "Broxu" και είχανε στόχο χρήστες που κάνανε χρήση του Internet Explorer, ο κρυμμένος κώδικας έκανε χρήση ενος κενού ασφαλείας του IE (το όποιο έχει διορθωθεί τώρα, CVE-2016-0162) ώστε να πάρει πληροφορίες για τον υπολογιστή του χρήστη. Ανάμεσα σε αυτές ήταν και το αν έτρεχε κάποιο πρόγραμμα sandbox, visualization καθώς και εφαρμογές ασφαλείας. Αν δεν έβρισκε κάτι και στο μηχάνημα υπήρχε ευπαθή έκδοση flash player τότε έστελνε τον χρήστη στην κακόβουλη σελίδα που εκτελούσε το Malware στον υπολογιστή.

    The Ursnif family is made up mainly of modules for stealing e-mail credentials, logging keystrokes, taking screenshots and videos, and acting as a backdoor. The Ramnit variety of malware offers most of the same capabilities and mainly targets the banking industry.
    Υπήρχαν δυο ειδών Malware, και τα δυο με δυνατότητες να υποκλέψουν στοιχεία, αλλά και να δράσουν σαν "πίσω πόρτα" για πρόσβαση στον υπολογιστή του χρήστη.

    Οι κατασκευαστές του προσπαθήσανε να το στήσουνε έτσι ώστε να μην περάσει σε χρήστες που πρόσεχαν την ασφάλεια τους ώστε να μην μπορέσει να εντοπιστεί, μαζί με τους έλεγχους που έκανε ο κώδικας στον υπολογιστή, υπήρχε και άλλος έλεγχος απο τον server που είχε το Malware.

    Για την εκτέλεση του χρησιμοποιούσε JavaScript όπως περιγράφεται παρακάτω:
    To execute the hidden payload, the malicious ads load a heavily modified version of Countly, an open-source package for measuring website traffic. That JavaScript extracts the hidden code out of the image and executes it. Because there's nothing per se malicious in the JavaScript, ad networks fail to detect what's happening. Referring to an ad located at hxxps://browser-defence.com/ads/s/index.html?w=160&h=600, Eset researchers described it this way:
    Αν και ο στόχος του Stegano ήταν χρήστες που δεν είχανε ενημερωμένες εκδόσεις Internet Explorer και Flash player, αυτό που ξεχωρίζει είναι το ότι κρύψανε τον κώδικα στα Pixel των διαφημίσεων, κανείς δεν μπορεί να είναι σίγουρος ότι δεν τρέχουν αυτή την στιγμή διαφημίσεις με κώδικα που να κάνει χρήση άλλων ευπαθειων.

    Πηγή : ArsTechnica

  2. #2
    Εγγραφή
    19-04-2006
    Μηνύματα
    1.003
    Downloads
    8
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    49999/4999
    ISP
    ΟΤΕ Conn-x
    Router
    Asus N17U
    Path Level
    Fastpath
    Ακόμα ένας λόγος να έχεις κάποιο Ad Blocker......

  3. #3
    Το avatar του μέλους turboirc
    turboirc Guest
    O IE τρεχει απο προεπιλογη σε low mode απο εποχη vista αν θυμαμαι καλα.

  4. #4
    Το avatar του μέλους eyw
    eyw Guest
    Παράθεση Αρχικό μήνυμα από wnet Εμφάνιση μηνυμάτων
    Ακόμα ένας λόγος να έχεις κάποιο Ad Blocker......
    και ρυθμισμένο για να μην περνάει καμία διαφήμιση.
    Οι browsers κατα προτίμησιν να τρέχουν μέσα σε sandboxie. Και να έχουμε NoScript.

  5. #5
    Το avatar του μέλους turboirc
    turboirc Guest
    Παράθεση Αρχικό μήνυμα από eyw Εμφάνιση μηνυμάτων
    και ρυθμισμένο για να μην περνάει καμία διαφήμιση.
    Οι browsers κατα προτίμησιν να τρέχουν μέσα σε sandboxie. Και να έχουμε NoScript.
    Βαλτον να τρεχει και μεσα σε διαλυμα φορμολης.

    Το πιο φοβερό είναι ότι, ενώ τα Windows ηδη έχουν υποστήριξη για sandbox, κανένα πρόγραμμα που θα έπρεπε δεν το χρησιμοποιεί εκτός του απαρχαιωμένου ΙΕ.
    Τελευταία επεξεργασία από το μέλος turboirc : 08-12-16 στις 10:12.

  6. #6
    Το avatar του μέλους eyw
    eyw Guest
    Παράθεση Αρχικό μήνυμα από turboirc Εμφάνιση μηνυμάτων
    Βαλτον να τρεχει και μεσα σε διαλυμα φορμολης. ...
    όχι διότι έχει backdoor, θα το διαβάσεις κάποια στιγμή εδώ.
    Ολο και κάτι ανακαλύπτεται, όλο και κάτι συμβαίνει.
    Τελευταία επεξεργασία από το μέλος eyw : 08-12-16 στις 17:45.

Παρόμοια Θέματα

  1. Μηνύματα: 34
    Τελευταίο Μήνυμα: 08-12-16, 05:05
  2. Μηνύματα: 22
    Τελευταίο Μήνυμα: 22-11-16, 15:05
  3. Μηνύματα: 33
    Τελευταίο Μήνυμα: 13-08-16, 00:23
  4. Μηνύματα: 3
    Τελευταίο Μήνυμα: 04-05-16, 08:01
  5. Σε αναζήτηση ενδιαφέροντος πάνω στα δίκτυα
    Από kalodios στο φόρουμ Εκτός θέματος
    Μηνύματα: 1
    Τελευταίο Μήνυμα: 29-12-15, 20:58

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές

  • Δεν μπορείτε να δημοσιεύσετε νέα θέματα
  • Δεν μπορείτε να δημοσιεύσετε νέα μηνύματα
  • Δεν μπορείτε να αναρτήσετε συνημμένα
  • Δεν μπορείτε να επεξεργαστείτε τα μηνύματα σας
  •  
  • Τα BB code είναι σε λειτουργία
  • Τα Smilies είναι σε λειτουργία
  • Το [IMG] είναι σε λειτουργία
  • Το [VIDEO] είναι σε λειτουργία
  • Το HTML είναι εκτός λειτουργίας