Leichte Beute für Trojaner und Co.: ESET entdeckt neues Stegano Exploit Kit

Nächste PM

 

In Werbebannern versteckter Schadcode greift Besucher bekannter Webseiten an 

Jena, 08. Dezember 2016 – Der europäische Security-Software-Hersteller ESET hat ein schädliches und unsichtbares Stegano Exploit Kit entdeckt, das bereits Millionen Leser populärer Nachrichten-Webseiten angegriffen hat. Werbebanner auf den Seiten leiten den Traffic an das Exploit Kit um, das dann verschiedene Schwachstellen in Flash ausnutzt. Die Ads bewerben oft Anwendungen wie „Browser Defence“ oder „Broxu“ und verstecken die Malware mit hohem Aufwand.

Seit mindestens 2014 versucht das Stegano Exploit Kit unter dem Radar zu bleiben. ESET hat es nun in einer Bannerwerbung ausfindig machen können und entdeckt, dass sogar komplexe steganografische Verfahren zur Umgebungsüberprüfung zum Einsatz kamen. Im Fall einer Kompromittierung standen Backdoors, Spywares und Banking-Trojanern Tür und Tor offen.

 

Bösartige Bildmodifikation kaum wahrnehmbar

Bei einem Angriff sendet ein initiales Skript selbstständig Informationen über den Computer des Opfers an Remote-Server des Angreifers. Dem anvisierten Opfer wird dann entweder ein sauberes oder ein fast unmerklich modifiziertes und schadhaftes Bild mit einem Skript im Alphakanal ausgegeben. Die Modifikation ist kaum wahrnehmbar, da sich lediglich der Farbton des Endbildes geringfügig von dem der originalen Version unterscheidet.

Mit der bereits bekannten Internet Explorer-Sicherheitslücke CVE-2016-0162 versucht das verschlüsselte Skript im Alphakanal zu überprüfen, ob es sich in einer überwachten Umgebung befindet. Wenn es keine Anzeichen eines Monitorings erkennt, leitet es zur Stegano Exploit Kit Zielseite weiter. Die Seite lädt eine Flash-Datei herunter, die in der Lage ist, je nach installierter Flash-Version drei verschiedene Schwachstellen auszunutzen (CVE-2015-8651, CVE-2016-1019, CVE-2016-4117). Anschließend sammelt der ausgeführte Shell-Code Informationen über installierte Sicherheitsprodukte.

Nach einem weiteren Monitoring-Check, lädt sie die verschlüsselte Nutzlast vom selben Server. Der Payload ist als GIF-Bild getarnt. Die Nutzlast wird dann entschlüsselt und über regsvr32.exe oder rundll32.exe gestartet. Bisherige Entdeckungen beinhalteten Backdoors, Banking Trojaner, Spyware, File Stealer und verschiedene Trojan Downloader.

Beobachtung des Stegano Exploit Kits seit 2014

Eine frühere Variante des versteckten Exploit Packs existiert seit mindestens Ende 2014. ESET wurde darauf aufmerksam, als niederländische Kunden von der Malware ins Visier genommen wurden. Im Frühjahr 2015 konzentrierten sich die Angreifer auf die Tschechische Republik, nun haben sie ihren Fokus auf Kanada, Australien und mehrere europäische Länder verlagert.

Zuletzt dienten vor allem große Domains wie Nachrichten-Webseiten, die tagtäglich von Millionen Menschen besucht werden, als „Referrer“ und hosteten die bösartigen Ads. Wird die Maus über die Werbeplatzierung gefahren, zeigt der Browser dem Betrachter zunächst ein normal aussehendes Werbebanner, hinter dem sich jedoch versteckter Schadcode versteckt.

Um Systeme gegen derartige Exploit Kits zu schützen, empfiehlt ESET aktuelle Software und Internet Security Lösungen. Weitere Informationen zu Stegano finden Sie auf dem Blog Welivesecurity.de von ESET unter http://www.welivesecurity.com/deutsch/2016/12/07/stegano-greift-leser-bekannter-webseiten/.

Pressekontakt

Christian Lueg
Head of Communication & PR DACH

christian.lueg@eset.com

Michael Klatte
PR-Manager

michael.klatte@eset.com

Philipp Plum
PR-Manager

philipp.plum@eset.com

Über ESET

Der europäische IT-Sicherheitshersteller ESET mit Hauptsitz in Bratislava (Slowakei) bietet hochmoderne digitale Security-Lösungen, um Angriffe zu verhindern, bevor sie passieren. Ob Endpoint-, Cloud- oder mobiler Schutz – durch die Kombination aus Künstlicher Intelligenz und menschlicher Expertise sichert ESET Unternehmen, kritische Infrastrukturen und Privatpersonen effektiv ab.  Die Technologien „Made in EU“ sorgen für zuverlässige Erkennung und Reaktion, extrem sichere Verschlüsselung und Multi-Faktor-Authentifizierung. ESET verfügt über weltweite Forschungs- und Entwicklungszentren und ein starkes internationales Partnernetzwerk in über 200 Ländern und Regionen.