Kártevők a hirdetési bannerek pixeleiben

2016. december 08. 09:36 - Csizmazia Darab István [Rambo]

Az ESET kutatói fertőzött hirdetéseken keresztül terjedő új expolit kitet fedeztek fel. Az érintett oldalak között neves, több millió napi látogatóval bíró weboldalak is megtalálhatók. Az ESET észlelőrendszere szerint az utóbbi két hónap során a kártevő több mint egymillió felhasználót fertőzött meg.

A Stegano exploit kit mögött álló kiberbűnözők legalább 2016. októbere óta támadják az Internet Explorer böngészőt használókat, és vizsgálják gépeiket Flash Player sebezhetőségek után kutatva. A talált hibákat kihasználva távolról próbálnak meg kártevőket letölteni és kártékony kódokat futtatni.

A felhasználók október eleje óta találkozhatnak a "Browser Defence" vagy "Broxu" néven futó alkalmazások hirdetéseivel, amelyek bannereit a hxxps://browser-defence.com és a hxxps://broxu.com címeken tárolják a kiberbűnözők:

A bannerekben található scriptek bármilyen interakció nélkül jelentéseket küldenek a felhasználók gépeiről a támadók távoli szervereire. A kiszolgáló-oldali logika alapján az áldozatok számára tiszta képeket, vagy azok közel észrevehetetlenül módosított, kártékony változatát jelenítik meg.

A rosszindulatú verziók grafikájának alfa csatornájába egy scriptet telepítettek, amely meghatározza az egyes pixelek átláthatóságát.

A módosítás olyan kicsi, hogy a végső kép színtónusa csak nagyon csekély mértékben tér el az eredetitől. Ehhez kapcsolódik a kártevő neve is: a "Stegano", amely a szteganográfiára utal, amely lehetővé teszi a támadók számára a kártevők elhelyezését a hirdetések pixeleiben.

A tiszta (balra), illetve a fertőzött bannerek (jobbra)


Miután a kód észlelte a rendszer sebezhetőségét (Internet Explorer vagy Flash Player), a kártevő fertőzött oldalakra irányít, majd letölti és futtatja a vírusokat. Az exploit kit egyik korábbi verziója már támadta a dán felhasználókat 2014-ben, majd a következő évben a cseh internetezők következtek.

Most kanadai, brit, ausztrál, spanyol és olasz felhasználókat vettek célba a támadók, ráadásul a módszeren sokat javítottak a bűnözők, és csak olyan hirdetési hálózatokat támadnak, amelyeket sikeresen fel tudnak használni saját céljaikra.

Az ESET szakértői azt javasolják, hogy rendszerünket és alkalmazásainkat frissítsük folyamatosan (különös tekintettel a Flash Player és az Internet Explorer programokra), és alkalmazzunk internetbiztonsági megoldásokat gépünkön a fertőzés elkerüléséhez. Továbbá érdemes mind az antivírus program beállításait, mind pedig a böngészőkliensünk biztonsági beállításait felülvizsgálni, és megfelelően beállítani.

Az esetről további információt, részletes áttekintést és technikai elemzést a WeLiveSecurity.com oldalon találhatnak.

3 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Hóhér az utolsó barátod · http://internetszemete.blog.hu 2016.12.08. 15:05:30

Nem is értem, miért terjednek a reklámblokkoló eszközök...
(Mondjuk azt sem, hogy miért hajt végre egy böngésző egy képbe csomagolt scriptet)

2017.01.16. 12:42:17

De durva hol tartunk már.Pixelekben van a féreg nem is a letöltött programokban...
süti beállítások módosítása