cabinet de sécurité ESET a rapporté que des millions d'utilisateurs ont été exposés à un code malveillant servi de pixels dans des bannières publicitaires compromis. L'objectif final de l'opération a été l'installation de chevaux de Troie et les logiciels espions sur les systèmes ciblés.
La campagne a été Stegano et a été la diffusion des annonces malveillants de nombreux sites d'information de bonne réputation. Les attaquants ont été misant sur Internet Explorer, à la recherche de vulnérabilités dans Adobe Flash.
Plus particulièrement, les attaquants ont utilisé une vulnérabilité d'Internet Explorer connu, CVE-2016-0162, à travers lequel le script codé tente de vérifier qu'il ne soit pas en cours d'exécution dans un environnement contrôlé, comme la machine d'un analyste de logiciels malveillants. Le script codé tente de vérifier qu'il ne soit pas en cours d'exécution dans un environnement surveillé, des chercheurs dire.
Si le script ne détecte aucun signe de surveillance, il redirige vers la Stegano exploiter la page de destination de kit, via le service TinyURL. La page d'atterrissage charge un fichier Flash qui est en mesure d'exploiter trois vulnérabilités différentes (CVE-2015-8651, CVE-2016-1019, CVE-2016-4117), en fonction de la version de Flash disponible sur le système de la victime.
en relation: CVE-2016-7855 Bug Flash Exploités dans des attaques limitées
Le malware installé dans ces attaques peut voler des informations d'identification email de mot de passe avec l'aide de son keylogging et capture d'écran saisissant caractéristiques. Ce qui est pire est que l'attaque est difficile à détecter. Pour l'infection ait lieu, attaquants empoisonnaient les pixels utilisés dans les annonces. Plus précisement, attaquants cachèrent code malveillant dans les paramètres de contrôle de la transparence des pixels sur la bannière publicitaire. Ceci est en effet comment la campagne est passé inaperçu par le réseau de publicité légitime.
Le scénario d'exploiter est connu comme le Stegano exploit kit.
Une variante antérieure de ce furtif exploit pack a été caché à la vue depuis au moins la fin 2014, lorsque nous avons repéré ce ciblage des clients néerlandais. Au printemps 2015 les assaillants ont porté sur la République tchèque et maintenant ils ont déplacé leur attention sur le Canada, Grande-Bretagne, Australie, Espagne et en Italie.
Dans cette campagne,, les criminels ont amélioré leurs tactiques. Ils étaient maintenant en mesure de cibler des pays spécifiques grâce aux réseaux légitimes, ils ont pu faire des compromis.
Les chercheurs disent même que Stegano surclasse d'autres EKS majeurs tels que Angler et Neutrino en termes de références, ou les sites où les attaquants ont réussi à installer des bannières malveillantes. Chercheur ont vu certains domaines majeurs et sites d'information visités par des millions d'utilisateurs agissant quotidiennement comme référenceurs qui hébergent les mauvaises annonces.
En ce qui concerne les charges utiles de l'opération Stegano, les chercheurs ont observé le malware suivant le téléchargement sur PC compromis:
- Win32 / TrojanDownloader.Agent.CFH
- Win32 / TrojanDownloader.Dagozill.B
- Win32 / GenKryptik.KUM
- Win32 / Kryptik.DLIF
Comment les utilisateurs peuvent rester protégés contre les Stegano exploiter?
Parce que l'opération repose sur des vulnérabilités connues, les utilisateurs ne doivent exécuter un logiciel entièrement patchée. L'emploi d'une solution puissante de sécurité Internet est également un must.
Spy Hunter scanner ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: