In Werbebannern versteckter Schadcode greift Besucher bekannter Webseiten an
Jena, 08. Dezember 2016 – Der europäische Security-Software-Hersteller ESET hat ein schädliches und unsichtbares Stegano Exploit Kit entdeckt, das bereits Millionen Leser populärer Nachrichten-Webseiten angegriffen hat. Werbebanner auf den Seiten leiten den Traffic an das Exploit Kit um, das dann verschiedene Schwachstellen in Flash ausnutzt. Die Ads bewerben oft Anwendungen wie „Browser Defence“ oder „Broxu“ und verstecken die Malware mit hohem Aufwand.
Seit mindestens 2014 versucht das Stegano Exploit Kit unter dem Radar zu bleiben. ESET hat es nun in einer Bannerwerbung ausfindig machen können und entdeckt, dass sogar komplexe steganografische Verfahren zur Umgebungsüberprüfung zum Einsatz kamen. Im Fall einer Kompromittierung standen Backdoors, Spywares und Banking-Trojanern Tür und Tor offen.
Bösartige Bildmodifikation kaum wahrnehmbar
Bei einem Angriff sendet ein initiales Skript selbstständig Informationen über den Computer des Opfers an Remote-Server des Angreifers. Dem anvisierten Opfer wird dann entweder ein sauberes oder ein fast unmerklich modifiziertes und schadhaftes Bild mit einem Skript im Alphakanal ausgegeben. Die Modifikation ist kaum wahrnehmbar, da sich lediglich der Farbton des Endbildes geringfügig von dem der originalen Version unterscheidet.
Mit der bereits bekannten Internet Explorer-Sicherheitslücke CVE-2016-0162 versucht das verschlüsselte Skript im Alphakanal zu überprüfen, ob es sich in einer überwachten Umgebung befindet. Wenn es keine Anzeichen eines Monitorings erkennt, leitet es zur Stegano Exploit Kit Zielseite weiter. Die Seite lädt eine Flash-Datei herunter, die in der Lage ist, je nach installierter Flash-Version drei verschiedene Schwachstellen auszunutzen (CVE-2015-8651, CVE-2016-1019, CVE-2016-4117). Anschließend sammelt der ausgeführte Shell-Code Informationen über installierte Sicherheitsprodukte.
Nach einem weiteren Monitoring-Check, lädt sie die verschlüsselte Nutzlast vom selben Server. Der Payload ist als GIF-Bild getarnt. Die Nutzlast wird dann entschlüsselt und über regsvr32.exe oder rundll32.exe gestartet. Bisherige Entdeckungen beinhalteten Backdoors, Banking Trojaner, Spyware, File Stealer und verschiedene Trojan Downloader.
Beobachtung des Stegano Exploit Kits seit 2014
Eine frühere Variante des versteckten Exploit Packs existiert seit mindestens Ende 2014. ESET wurde darauf aufmerksam, als niederländische Kunden von der Malware ins Visier genommen wurden. Im Frühjahr 2015 konzentrierten sich die Angreifer auf die Tschechische Republik, nun haben sie ihren Fokus auf Kanada, Australien und mehrere europäische Länder verlagert.
Zuletzt dienten vor allem große Domains wie Nachrichten-Webseiten, die tagtäglich von Millionen Menschen besucht werden, als „Referrer“ und hosteten die bösartigen Ads. Wird die Maus über die Werbeplatzierung gefahren, zeigt der Browser dem Betrachter zunächst ein normal aussehendes Werbebanner, hinter dem sich jedoch versteckter Schadcode versteckt.
Um Systeme gegen derartige Exploit Kits zu schützen, empfiehlt ESET aktuelle Software und Internet Security Lösungen. Weitere Informationen zu Stegano finden Sie auf dem Blog Welivesecurity.de von ESET unter http://www.welivesecurity.com/deutsch/2016/12/07/stegano-greift-leser-bekannter-webseiten/.