ESET: эксплойт-кит Stegano скрывается в рекламных баннерах

Специалисты ESET обнаружили новый эксплойт-кит Stegano, атакующий посетителей новостных сайтов с миллионной суточной аудиторией. Stegano нацелен на пользователей Internet Explorer и уязвимых версий Flash Player.

Эксплойт-кит применяет технику стеганографии – вредоносный код маскируется в изображениях PNG. Атакующие незначительно меняют параметр прозрачности нескольких пикселей – изменения неразличимы визуально, но открывают широкие возможности внедрения кода. Модифицированные PNG используются в качестве рекламных баннеров.

Stegano рекламирует приложения Browser Defence и Broxu:

Для заражения достаточно открыть в Internet Explorer сайт, где размещена вредоносная реклама. Кликать на баннер не потребуется, эксплуатация уязвимостей производится автоматически. Успешная атака завершится установкой на ПК вредоносного ПО.

«Вшитый» в изображение код передает информацию о системе жертвы на удаленный сервер. Скрипт использует уязвимость Internet Explorer CVE-2016-0162 и проверяет, что запущен не в контролируемой среде (например, на компьютере вирусного аналитика). Не обнаружив признаков контроля, сценарий перенаправляет жертву на страницу эксплойт-кита Stegano через сервис TinyURL. Страница загружает файл, который может эксплуатировать три уязвимости Flash Player (CVE-2015-8651, CVE-2016-1019, CVE-2016-4117).

Stegano «параноидально», по словам экспертов ESET, собирает информацию об установленных антивирусах. После проверки c удаленного сервера загружаются вредоносные программы, включая банковские трояны, бэкдоры, шпионское ПО и программы для кражи файлов. Пока атакующие «предпочитают» банковские трояны Ramnit и Ursnif, но в будущем им не составит труда перейти на другую малварь, включая шифраторы.

Первые версии эксплойт-кита были обнаружены в конце 2014 г. и нацелены на пользователей из Нидерландов. Весной 2015 г. атакующие переключились на Чехию, а с октября 2016 г. – на Канаду, Великобританию, Австралию, Испанию и Италию. Точный таргетинг обеспечивается благодаря рекламным баннерным сетям.

ESET рекомендует своевременно устанавливать все обновления ПО и использовать современные антивирусные продукты. Это позволит избежать атак Stegano и большинства других эксплойт-китов.

ESET


comments powered by Disqus

Топ компаний

  1. ESET  367
  2. Intel  159
  3. Лаборатория Касперского  153
  4. Microsoft  149
  5. Samsung Electronics  148
  6. Google  74
  7. Dell  60
  8. Qiwi  35
  9. Cisco Systems  27
  10. McAfee  24