Beveiligingsbedrijf ESET heeft gemeld dat miljoenen gebruikers zijn blootgesteld aan schadelijke code geserveerd van de pixels in het gedrang banneradvertenties. Het uiteindelijke doel van de operatie was de installatie van Trojaanse paarden en spyware op gerichte systemen.
De campagne was Stegano en verspreidde kwaadaardige advertenties van veel gerenommeerde nieuwssites. Aanvallers maken gebruik van Internet Explorer, op zoek naar kwetsbaarheden in Adobe Flash.
Meer in het bijzonder, aanvallers maakten gebruik van een bekende kwetsbaarheid in Internet Explorer, CVE-2016-0162, waarmee het gecodeerde script probeert te verifiëren dat het niet wordt uitgevoerd in een bewaakte omgeving, zoals de machine van een malware-analist. Het gecodeerde script probeert te verifiëren dat het niet wordt uitgevoerd in een bewaakte omgeving, onderzoekers zeg.
Als het script geen tekenen van monitoring detecteert, het verwijst door naar de bestemmingspagina van de Stegano-exploitkit, via de TinyURL-service. De bestemmingspagina laadt een Flash-bestand dat misbruik kan maken van drie verschillende kwetsbaarheden (CVE-2015-8651, CVE-2016-1019, CVE-2016-4117), afhankelijk van de versie van Flash die op het systeem van het slachtoffer is gevonden.
Verwant: CVE-2016-7855 Flash Bug Exploited in Limited Attacks
De malware die bij deze aanvallen is geïnstalleerd, kan wachtwoordgegevens voor e-mail stelen met behulp van de functies voor keylogging en screenshots. Wat erger is, is dat de aanval moeilijk te detecteren is. Voor de infectie te laten plaatsvinden, aanvallers vergiftigden de pixels die in de advertenties werden gebruikt. Specifieker, aanvallers verborgen kwaadaardige code in de parameters die de transparantie van de pixels op de banneradvertentie regelen. Dit is inderdaad hoe de campagne onopgemerkt bleef door het legitieme advertentienetwerk.
Het exploit-scenario staat bekend als de Stegano-exploitkit.
Een eerdere variant van dit onopvallende exploit-pakket is sinds ten minste laat verborgen in het zicht 2014, toen we het zagen gericht op Nederlandse klanten. In de lente 2015 de aanvallers richtten zich op Tsjechië en nu hebben ze hun focus op Canada verlegd, Brittannië, Australië, Spanje en Italië.
In deze campagne, criminelen hebben hun tactiek verbeterd. Ze konden nu specifieke landen targeten dankzij de legitieme netwerken die ze konden compromitteren.
Onderzoekers zeggen zelfs dat Stegano andere grote EK's zoals Angler en Neutrino overtreft in termen van verwijzingen, of de websites waar aanvallers kwaadaardige banners hebben kunnen installeren. Onderzoekers hebben gezien dat enkele grote domeinen en nieuwswebsites die dagelijks door miljoenen gebruikers worden bezocht, fungeren als verwijzers die de slechte advertenties hosten.
Wat betreft de ladingen van de Stegano-operatie, onderzoekers hebben waargenomen dat de volgende malware wordt gedownload naar gecompromitteerde pc's::
- Win32/TrojanDownloader.Agent.CFH
- Win32/TrojanDownloader.Dagozill.B
- Win32 / GenKryptik.KUM
- Win32 / Kryptik.DLIF
Hoe kunnen gebruikers beschermd blijven tegen de Stegano-exploit??
Omdat de operatie afhankelijk is van bekende kwetsbaarheden, gebruikers mogen alleen volledig gepatchte software gebruiken. Het gebruik van een krachtige internetbeveiligingsoplossing is ook een must.
Spy Hunter scanner zal alleen de bedreiging op te sporen. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: