Новый эксплоит кит Stegano

Я давно интересуюсь стеганографией. Если кто не знает, что это такое, то можно коротко сказать о ней так: это способы передачи информации там, где ее никто даже искать не будет. Есть огромное количество разнообразнейших способов такой передачи информации, но в цифровом мире чаще всего используются медиафайлы.
Если хотите узнать о стеганографии побольше, то можно к примеру почитать эту статью

steganografia

И вот недавно прочитал, что исследователи компании ESET сообщают, что как минимум с октября 2016 года через вредоносные рекламные кампании на различных новостных сайтах распространяется новый эксплоит кит Stegano. Он атакует пользователей Internet Explorer, используя уязвимости во Flash Player, и если атака удалась, доставляет на машину жертвы дополнительную малварь.

Набор эксплоитов получил название Stegano из-за техники, которую он использует. Вредоносный код злоумышленники прячут в изображениях, то есть применяют стеганографию. В детальном техническом отчете, исследователи ESET объясняют, что атакующие изменяют в PNG-файлах значение transparency (прозрачность) для нескольких пикселей, а затем используют эти изображения как рекламные баннеры, для которых покупают рекламные места на посещаемых сайтах.

Многие рекламные сети разрешают рекламодателям использовать JavaScript в рекламе, так что злоумышленники добавляют к рекламе JavaScript-код, который парсит изображение, извлекает данные измененных пикселей, используя математическую формулу (см. ниже) и преобразует значения в символы. Так как изображение содержит миллионы пикселей, места для «вшивания» кода злоумышленникам хватает.

stegano-formula

Полученные таким образом символы преобразуются в промежуточный URL, гейт, который фильтрует пользователей. Такая ссылка представляет риск только для пользователей Internet Explorer, так как гейт эксплуатирует уязвимость CVE-2016-0162 в IE, чтобы убедиться, что имеет дело с обычным пользователем, а не ИБ-экспертами, и никакой угрозы нет. Также гейт проверяет наличие антивирусного ПО. Если такое обнаруживается, сервер обрывает соединение, чтобы не «засветить» инфраструктуру, а также не спровоцировать срабатывание защитных механизмов. Исследователи ESET отмечают, что авторы Stegano – настоящие параноики, из-за чего анализ эксплоит кита оказался нетривиальной задачей.

Если гейт убедился, что с пользователем все в порядке, жертву переадресуют на другой URL, где ее ожидает первая стадия заражения и эксплуатация уязвимостей во Flash Player (CVE-2015-8651, CVE-2016-1019 и CVE-2016-4117). После успешной эксплуатации багов, на компьютер пользователя устанавливается разнообразная малварь. На данный момент Stegano распространяет банковские трояны Ursnif и Ramnit, однако аналитики опасаются, что вскоре операторы эксплоит кита могут переключиться на что-то более опасное, к примеру, на шифровальщиков.

stegano-shema

Я когда это прочитал — сразу понял, что это новое слово в вирусописании. Он пока распространяется с серьезными ограничениями (IE и на машинах без антивируса), но ведь скоро они научатся обходить свои внутренние ограничения и вирус начнет распространяться и в других браузерах. Но что самое главное? Что распространяется он через банеры!!! А они могут быть вообще на любых сайтах!!! То есть раньше была возможность заразиться через взломанные сайты. Но такие взломы оперативно обнаруживались и вредоносный код удалялся. В итоге заражалось не так и много машин и одномоментно. Для следующей партии зараженных машин — нужно снова взламывать сайт. Но сейчас запустил банерную рекламу и все! Твоей жертвой станет вообще любой!

Ну и напоследок привет тем, кто не использует антивирус потому что «а зачем он нужен?», «я знаю, что я делаю» и «я же хожу только по проверенным сайтам» =)