100 作者 Editor
投稿 0 篇文章回帖 0 次

用一张照片黑上百万人——广告图片后的恶意代码

发布于2016-12-08 18:08:29 阅读1032 帖子0 快速回帖



在过去的两个月里,如果你浏览过任意一个主流网站,那你的电脑可能已经被感染了。因为,安全研究员发现了一个新的渗透代码工具包(exploit kit)。


杀毒软件提供商 ESET 的研究员在周二发布了一份报告,声称他们已经发现了一个渗透代码工具包,称作 Stegano(信息隐藏)。这个工具包将恶意代码隐藏在横幅广告像素中,在几个非常引人注目的网页上循环播放。


信息隐藏最早可追溯至2014年。但在今年十月处,网络罪犯设法将这些隐藏有恶意代码的广告放在各种各样的声誉良好的新闻网站上,每个新闻网站每日都有上百万的阅读者。


Stegano 这个词由Steganography(隐写术)衍生而来。Steganography正是一种隐藏数字图片所含信息和内容的技术。因此Stegano隐藏的内容,用肉眼是无法识别的。


在这个恶意广告行为中,操作者将恶意代码隐藏到PNG图片的Alpha Channel中,这个Channel可通过选择几个像素的透明度值来决定每个像素的透明度。


然后操作者将被选图片打包为广告,然后将这些恶意广告图片放在一些高调的网站上。


研究者称,这些恶意广告在推销“Browser Defense”和“Broxu”的应用。这样的话,广告网站就很难注意到这些广告背后的恶意代码。


Stegano 攻击是如何生效的呢?


一旦有个用户浏览了一个充满各种恶意广告的网站,那么嵌入在广告中的恶意脚本便会,在没有通知用户的情况下,将用户的信息报告给攻击者的远程电脑。


然后,恶意代码将利用微软的IE (Internet Explorer)浏览器中的CVE-2016-0162漏洞,扫描中毒电脑,确认其是否在攻击者的机器上运行。


在验证完目标浏览器后,恶意脚本会将浏览器重新导向一个网站。这个网上群集三个打包的Adobe Flash 漏洞的Flash Player开发代码:CVE-2015-8651, CVE-2016-1019, and CVE-2016-4117。


一旦开发成功,一段可执行的指令在下载的安全软件上收集信息,并再一次检查,是否被监控。如果结果可观,它将会从相同的服务器上下载加密的有效载荷,并伪装成为一个GIF 图片。


一旦下载到受害者的电脑上后,这个加密的有效载荷就会被解密,并通过微软Windows 的regsvr32.exe或者rundll32.exe启动。


浏览网站,只要2-3秒,你就会被黑


到目前为止,Stegano 渗透代码工具包已经推送了很多不同的木马下载程序,Ursnif、Ramnit、banking trojans、backdoors、spyware和file stealers。


Stegano 开发工具包最初是出现在2014年,目标为荷兰人。然后在2015年转移至捷克共和国。最后一次攻击目标人群转移至加拿大、英国、澳大利亚、西班牙和意大利。


保护自己的不被恶意广告感染的最好方法是确保使用更新后的软件和APP。同时,使用信誉良好的杀毒软件,这样的话,杀毒软件可以在病毒感染电脑前便监测到威胁。

本文由 Cherie 编译

原文出自 thehackernews


微博:看雪安全

看雪安全 · 看雪众测

持续关注安全16年,专业为您服务!



您的支持是我前进的动力!

¥ 打赏支持