A empresa de segurança ESET relatou que milhões de usuários foram expostos a códigos maliciosos veiculados a partir de pixels em anúncios de banner comprometidos. O objetivo final da operação era a instalação de Trojans e spyware nos sistemas visados.
A campanha foi Stegano e tem espalhado anúncios maliciosos de muitos sites de notícias respeitáveis. Os invasores têm aproveitado o Internet Explorer, procurando vulnerabilidades no Adobe Flash.
Mais particularmente, os invasores estavam usando uma vulnerabilidade conhecida do Internet Explorer, CVE-2016-0162, por meio do qual o script codificado tenta verificar se não está sendo executado em um ambiente monitorado, como a máquina de um analista de malware. O script codificado tenta verificar se não está sendo executado em um ambiente monitorado, pesquisadores dizer.
Se o script não detectar nenhum sinal de monitoramento, ele redireciona para a página de destino do kit de exploração Stegano, através do serviço TinyURL. A página de destino carrega um arquivo Flash que é capaz de explorar três vulnerabilidades diferentes (CVE-2015-8651, CVE-2016-1019, CVE-2016-4117), dependendo da versão do Flash encontrada no sistema da vítima.
relacionado: CVE-2016-7855 Bug flash explorada em ataques limitados
O malware instalado nesses ataques pode roubar credenciais de senha de e-mail com a ajuda de seus recursos de keylogging e captura de tela. O pior é que o ataque é difícil de detectar. Para que a infecção ocorra, invasores estavam envenenando os pixels usados nos anúncios. Mais especificamente, invasores ocultaram código malicioso nos parâmetros que controlam a transparência dos pixels no anúncio de banner. Foi assim que a campanha passou despercebida pela rede de publicidade legítima.
O cenário de exploração é conhecido como kit de exploração Stegano.
Uma variante anterior deste pacote de exploit furtivo está escondido à vista de todos desde, pelo menos, tarde 2014, quando o vimos visando clientes holandeses. Na primavera 2015 os atacantes se concentraram na República Tcheca e agora mudaram seu foco para o Canadá, Grã-Bretanha, Austrália, Espanha e Itália.
Nesta campanha, os criminosos melhoraram suas táticas. Eles agora eram capazes de atingir países específicos graças às redes legítimas que eles conseguiram comprometer.
Os pesquisadores até dizem que Stegano supera outros EKs importantes, como Angler e Neutrino em termos de referências, ou os sites onde os invasores conseguiram instalar banners maliciosos. O pesquisador viu alguns domínios importantes e sites de notícias visitados por milhões de usuários diariamente agindo como referenciadores que hospedam os anúncios inadequados.
Quanto às cargas úteis da operação Stegano, pesquisadores observaram o seguinte malware sendo baixado em PCs comprometidos:
- Win32 / TrojanDownloader.Agent.CFH
- Win32 / TrojanDownloader.Dagozill.B
- Win32 / GenKryptik.KUM
- Win32 / Kryptik.DLIF
Como os usuários podem ficar protegidos contra a exploração do Stegano?
Porque a operação depende de vulnerabilidades conhecidas, os usuários só devem executar software totalmente corrigido. O emprego de uma solução de segurança de internet poderosa também é uma obrigação.
digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: