Hirdetési bannerek pixeleiben rejtőző új kártevőt azonosított az ESET
Az ESET kutatói fertőzött hirdetéseken keresztül terjedő új expolit kitet fedeztek fel. Az érintett oldalak között neves, több millió napi látogatóval bíró weboldalak is megtalálhatók. Az ESET észlelőrendszere szerint az utóbbi két hónap során a kártevő több mint egymillió felhasználót fertőzött meg.
A Stegano exploit kit mögött álló kiberbűnözők legalább 2016 októbere óta támadják az Internet Explorer böngészőt használókat, és vizsgálják gépeiket Flash Player sebezhetőségek után kutatva. A talált hibákat kihasználva távolról próbálnak meg kártevőket letölteni és kártékony kódokat futtatni.
A felhasználók október eleje óta találkozhatnak a “Browser Defence” vagy “Broxu” néven futó alkalmazások hirdetéseivel, amelyek bannereit a hxxps://browser-defence.com és a hxxps://broxu.com címeken tárolják a kiberbűnözők:
A bannerekben található scriptek bármilyen interakció nélkül jelentéseket küldenek a felhasználók gépeiről a támadók távoli szervereire. A kiszolgáló-oldali logika alapján az áldozatok számára tiszta képeket, vagy azok közel észrevehetetlenül módosított, kártékony változatát jelenítik meg. A rosszindulatú verziók grafikájának alfa csatornájába egy scriptet telepítettek, amely meghatározza az egyes pixelek átláthatóságát. A módosítás olyan kicsi, hogy a végső kép színtónusa csak nagyon csekély mértékben tér el az eredetitől. Ehhez kapcsolódik a kártevő neve is: a „Stegano”, amely a szteganográfiára utal, amely lehetővé teszi a támadók számára a kártevők elhelyezését a hirdetések pixeleiben.
A tiszta (balra), illetve a fertőzött bannerek (jobbra)
Miután a kód észlelte a rendszer sebezhetőségét (Internet Explorer vagy Flash Player), a kártevő fertőzött oldalakra irányít, majd letölti és futtatja a vírusokat.
Az exploit kit egyik korábbi verziója már támadta a dán felhasználókat 2014-ben, majd a következő évben a cseh internetezők következtek. Most kanadai, brit, ausztrál, spanyol és olasz felhasználókat vettek célba a támadók, ráadásul a módszeren sokat javítottak a bűnözők, és csak olyan hirdetési hálózatokat támadnak, amelyeket sikeresen fel tudnak használni saját céljaikra.
Az ESET szakértői azt javasolják, hogy rendszerünket és alkalmazásainkat frissítsük folyamatosan (különös tekintettel a Flash Player és az Internet Explorer programokra), és alkalmazzunk internetbiztonsági megoldásokat gépünkön a fertőzés elkerüléséhez. Továbbá érdemes mind az antivírus program beállításait, mind pedig a böngészőkliensünk biztonsági beállításait felülvizsgálni, és megfelelően beállítani.
Az esetről további információt, részletes áttekintést és technikai elemzést a WeLiveSecurity.com oldalon találhatnak.
Kapcsolódó cikkek
- Nulladik napi támadás ázsiai és afrikai bankok ellen
- Havi vírusriport – 32 és 64 biten is visszatértek a hátsóajtók
- Minden 4. wifi csak arra vár, hogy feltörjék
- A magyar vállalatok 40 százaléka vesztett adatot idén
- Nincs több rejtély: A Kaspersky Lab 2017-es kiberveszély előrejelzései
- Nem csak a Tesco Bank ügyfeleit támadta a Retefe vírus
- A Kaspersky Lab bemutatta a Vállalati Társadalmi Felelősségvállalásról szóló jelentését
- Egy trójai vírus 318.000 Androidos felhasználót ért el a népszerű böngésző biztonsági résein keresztül
- Inercept X, avagy a végpontoknak is lehet golyóálló mellénye
- Trójai háború - A havi víruslistán tízből kilenc kártevő trójai program