セキュリティ会社のESETは、何百万ものユーザーが侵害されたバナー広告のピクセルから配信された悪意のあるコードにさらされたと報告しています. この操作の最終目標は、標的となるシステムにトロイの木馬とスパイウェアをインストールすることでした。.
キャンペーンはステガノであり、多くの評判の良いニュースサイトから悪意のある広告を広めています. 攻撃者はInternetExplorerを利用しています, AdobeFlashの脆弱性を探しています.
より具体的には, 攻撃者は既知のInternetExplorerの脆弱性を使用していました, CVE-2016-0162, エンコードされたスクリプトは、マルウェアアナリストのマシンなどの監視対象環境で実行されていないことを確認しようとします。. エンコードされたスクリプトは、監視対象の環境で実行されていないことを確認しようとします, 研究者 いう.
スクリプトが監視の兆候を検出しない場合, Steganoエクスプロイトキットのランディングページにリダイレクトされます, TinyURLサービス経由. ランディングページは、3つの異なる脆弱性を悪用できるFlashファイルをロードします (CVE-2015-8651, CVE-2016-1019, CVE-2016-4117), 被害者のシステムで見つかったFlashのバージョンによって異なります.
関連している: CVE-2016-7855限定攻撃で悪用されたフラッシュバグ
これらの攻撃にインストールされたマルウェアは、キーロガーとスクリーンショット取得機能の助けを借りて、電子メールのパスワードクレデンシャルを盗むことができます. さらに悪いことに、攻撃を検出するのは難しいです. 感染が起こるために, 攻撃者は広告で使用されているピクセルを毒殺していました. すなわち, 攻撃者は、バナー広告のピクセルの透明度を制御するパラメータに悪意のあるコードを隠しました. これは確かにキャンペーンが合法的な広告ネットワークによって見過ごされた方法です.
エクスプロイトシナリオは、Steganoエクスプロイトキットとして知られています.
このステルスエクスプロイトパックの初期の亜種は、少なくとも遅くから目に見えないところに隠れています。 2014, オランダの顧客をターゲットにしているのを見つけたとき. 春に 2015 攻撃者はチェコ共和国に焦点を合わせ、今ではカナダに焦点を移しています。, 英国, オーストラリア, スペインとイタリア.
このキャンペーンでは, 犯罪者は彼らの戦術を改善しました. 侵害できた正当なネットワークのおかげで、特定の国をターゲットにすることができるようになりました.
研究者は、ステガノが紹介の点でアングラーやニュートリノなどの他の主要なEKよりも優れているとさえ言っています, または攻撃者が悪意のあるバナーをインストールすることに成功したWebサイト. 研究者は、悪い広告をホストするリファラーとして毎日何百万ものユーザーがアクセスするいくつかの主要なドメインとニュースWebサイトを見てきました.
ステガノ操作のペイロードについて, 研究者は、次のマルウェアが侵害されたPCにダウンロードされていることを確認しました:
- Win32 / TrojanDownloader.Agent.CFH
- Win32 / TrojanDownloader.Dagozill.B
- Win32 / GenKryptik.KUM
- Win32 / Kryptik.DLIF
ステガノエクスプロイトからユーザーを保護するにはどうすればよいですか?
操作は既知の脆弱性に依存しているため, ユーザーは完全にパッチが適用されたソフトウェアのみを実行する必要があります. 強力なインターネットセキュリティソリューションの採用も必須です.
スパイハンタースキャナーは脅威のみを検出します. 脅威を自動的に削除したい場合, マルウェア対策ツールのフルバージョンを購入する必要があります.SpyHunterマルウェア対策ツールの詳細をご覧ください / SpyHunterをアンインストールする方法