Sikkerhed firma ESET har rapporteret, at millioner af brugere har været udsat for skadelig kode serveres fra pixels i kompromitterede bannerreklamer. Det endelige mål med operationen var installationen af trojanske heste og spyware på målrettede systemer.
Kampagnen har været Stegano og har været at sprede ondsindede annoncer fra mange velrenommerede nyhedssites. Angribere har udnytte Internet Explorer, leder efter sårbarheder i Adobe Flash.
Mere specielt, angriberne brugte en kendt Internet Explorer sårbarhed, CVE-2016-0162, gennem hvilken den kodede script forsøger at kontrollere, at det ikke køres i et overvåget miljø som en malware analytiker maskine. Det kodede script forsøger at kontrollere, at det ikke køres i et overvåget miljø, forskere sige.
Hvis scriptet ikke registrerer nogen tegn på overvågning, det omdirigerer til Stegano udnytte kit destinationsside, via TinyURL tjeneste. Destinationssiden indlæser en Flash-fil, der er i stand til at udnytte tre forskellige sårbarheder (CVE-2015-8651, CVE-2016-1019, CVE-2016-4117), afhængigt af den version af Flash fundet på offerets systemet.
Relaterede: CVE-2016-7855 Flash Bug udnyttes Begrænsede angreb
Den malware installeret i disse angreb kan stjæle email password legitimationsoplysninger med hjælp fra sin keylogging og skærmbillede sensationsprægede funktioner. Hvad værre er, at angrebet er svært at opdage. Til inficering kan finde sted, angriberne var forgiftning pixels, der anvendes i annoncerne. Mere specifikt, angribere gemte skadelig kode i de parametre, der styrer pixels 'gennemsigtighed på bannerreklame. Dette er faktisk, hvordan kampagnen gik ubemærket af legitim annoncenetværk.
Den udnytter scenario er kendt som Stegano udnytte kit.
En tidligere variant af denne snigende udnytte pakke har været skjult i et almindeligt syn i hvert fald siden slutningen af 2014, når vi plettet det målrettet hollandske kunder. I foråret 2015 angriberne fokuserede på Den Tjekkiske Republik og nu har de flyttet deres fokus på Canada, Storbritannien, Australien, Spanien og Italien.
I denne kampagne, kriminelle har forbedret deres taktik. De var nu i stand til at målrette specifikke lande takket være de legitime netværk, de var i stand til at gå på kompromis.
Forskere endda sige, at Stegano outclasses andre store EKS såsom Angler og Neutrino i form af henvisninger, eller de hjemmesider, hvor angriberne formået at installere ondsindede bannere. Forsker har set nogle store domæner og nyheder hjemmesider besøges af millioner af brugere hver dag fungerer som referrers der er vært de dårlige annoncer.
Som for nyttelast af Stegano operation, forskere har observeret følgende malware bliver downloadet på kompromitterede pc'er:
- Win32 / TrojanDownloader.Agent.CFH
- Win32 / TrojanDownloader.Dagozill.B
- Win32 / GenKryptik.KUM
- Win32 / Kryptik.DLIF
Hvordan kan brugerne være beskyttet mod Stegano udnytte?
Fordi operationen afhængig af kendte sårbarheder, brugere bør kun køre fuldt patched software. Ansættelsen af en kraftig internet sikkerhedsløsning er også et must.
Spy Hunter scanner kun detektere trussel. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter