Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

DSAG-Technologietage 2018
20.02.18 - 21.02.18
In Stuttgart

Sourcing von Application Management Services
21.02.18 - 21.02.18
In Frankfurt

Next Generation SharePoint
22.02.18 - 22.02.18
In München

WebsitesDer europäische Security-Software-Hersteller ESET hat ein schädliches und unsichtbares Stegano Exploit Kit entdeckt, das bereits Millionen Leser populärer Nachrichten-Webseiten angegriffen hat.

Werbebanner auf den Seiten leiten den Traffic an das Exploit Kit um, das dann verschiedene Schwachstellen in Flash ausnutzt. Die Ads bewerben oft Anwendungen wie „Browser Defence“ oder „Broxu“ und verstecken die Malware mit hohem Aufwand.

Seit mindestens 2014 versucht das Stegano Exploit Kit unter dem Radar zu bleiben. ESET hat es nun in einer Bannerwerbung ausfindig machen können und entdeckt, dass sogar komplexe steganografische Verfahren zur Umgebungsüberprüfung zum Einsatz kamen. Im Fall einer Kompromittierung standen Backdoors, Spywares und Banking-Trojanern Tür und Tor offen.

Bösartige Bildmodifikation kaum wahrnehmbar

Bei einem Angriff sendet ein initiales Skript selbstständig Informationen über den Computer des Opfers an Remote-Server des Angreifers. Dem anvisierten Opfer wird dann entweder ein sauberes oder ein fast unmerklich modifiziertes und schadhaftes Bild mit einem Skript im Alphakanal ausgegeben. Die Modifikation ist kaum wahrnehmbar, da sich lediglich der Farbton des Endbildes geringfügig von dem der originalen Version unterscheidet.

Mit der bereits bekannten Internet Explorer-Sicherheitslücke CVE-2016-0162 versucht das verschlüsselte Skript im Alphakanal zu überprüfen, ob es sich in einer überwachten Umgebung befindet. Wenn es keine Anzeichen eines Monitorings erkennt, leitet es zur Stegano Exploit Kit Zielseite weiter. Die Seite lädt eine Flash-Datei herunter, die in der Lage ist, je nach installierter Flash-Version drei verschiedene Schwachstellen auszunutzen (CVE-2015-8651, CVE-2016-1019, CVE-2016-4117). Anschließend sammelt der ausgeführte Shell-Code Informationen über installierte Sicherheitsprodukte.

Nach einem weiteren Monitoring-Check, lädt sie die verschlüsselte Nutzlast vom selben Server. Der Payload ist als GIF-Bild getarnt. Die Nutzlast wird dann entschlüsselt und über regsvr32.exe oder rundll32.exe gestartet. Bisherige Entdeckungen beinhalteten Backdoors, Banking Trojaner, Spyware, File Stealer und verschiedene Trojan Downloader.

Beobachtung des Stegano Exploit Kits seit 2014

Eine frühere Variante des versteckten Exploit Packs existiert seit mindestens Ende 2014. ESET wurde darauf aufmerksam, als niederländische Kunden von der Malware ins Visier genommen wurden. Im Frühjahr 2015 konzentrierten sich die Angreifer auf die Tschechische Republik, nun haben sie ihren Fokus auf Kanada, Australien und mehrere europäische Länder verlagert.

Zuletzt dienten vor allem große Domains wie Nachrichten-Webseiten, die tagtäglich von Millionen Menschen besucht werden, als „Referrer“ und hosteten die bösartigen Ads. Wird die Maus über die Werbeplatzierung gefahren, zeigt der Browser dem Betrachter zunächst ein normal aussehendes Werbebanner, hinter dem sich jedoch versteckter Schadcode versteckt.

Um Systeme gegen derartige Exploit Kits zu schützen, empfiehlt ESET aktuelle Software und Internet Security Lösungen. Weitere Informationen zu Stegano finden Sie auf dem Blog Welivesecurity.de von ESET.

www.eset.de
 

GRID LIST
Tb W190 H80 Crop Int Be0eef5a5cb61cb3ac7384102e439ab0

Cyberkrimininalität: Zwischen Anspruch und Kommerzialisierung

Entwicklern von Malware wie aktuell Goncalo Esteves wird immer häufiger der Prozess…
Tb W190 H80 Crop Int 9d740e38cf32ac54829d35b81051d48d

Hacker sollen vor Quantentechnologie kapitulieren

Netzwerke, an denen sich Hacker todsicher die Zähne ausbeißen, sind nach einer neuen…
Tb W190 H80 Crop Int 33e73b25261b4f94d72c7793df32609a

Android-Trojaner stiehlt vertrauliche Daten von WhatsApp und Co.

Doctor Web entdeckte im Dezember einen Android-Trojaner, der Nachrichten und Bilder…
Tb W190 H80 Crop Int 8534c86a60d191365cb50a48df651c55

Hackerangriff auf Behörde, um Kryptogeld zu gewinnen

Wie jetzt bekannt wurde, ist das Landesamt für Besoldung und Versorgung Baden-Württemberg…
Tb W190 H80 Crop Int 294d4a259098ca5503fcaff9c2313cc7

Gute IT-Security - Vorsätze für das neue Jahr

Das neue Jahr ist wenige Tage alt und trotzdem haben Cyberkriminelle bereits tausende…
Tb W190 H80 Crop Int 412b12439a8b3e2b4660f00a51585909

IT-Security im Finanzbereich – diese drei Themen bestimmen 2018

Ein turbulentes Jahr liegt hinter der IT-Finanzbranche. Hackerangriffe wurden…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security