SAP SECURITY 2017
22.11.17 - 22.11.17
In Walldorf, Leonardo Hotel

Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

WebsitesDer europäische Security-Software-Hersteller ESET hat ein schädliches und unsichtbares Stegano Exploit Kit entdeckt, das bereits Millionen Leser populärer Nachrichten-Webseiten angegriffen hat.

Werbebanner auf den Seiten leiten den Traffic an das Exploit Kit um, das dann verschiedene Schwachstellen in Flash ausnutzt. Die Ads bewerben oft Anwendungen wie „Browser Defence“ oder „Broxu“ und verstecken die Malware mit hohem Aufwand.

Seit mindestens 2014 versucht das Stegano Exploit Kit unter dem Radar zu bleiben. ESET hat es nun in einer Bannerwerbung ausfindig machen können und entdeckt, dass sogar komplexe steganografische Verfahren zur Umgebungsüberprüfung zum Einsatz kamen. Im Fall einer Kompromittierung standen Backdoors, Spywares und Banking-Trojanern Tür und Tor offen.

Bösartige Bildmodifikation kaum wahrnehmbar

Bei einem Angriff sendet ein initiales Skript selbstständig Informationen über den Computer des Opfers an Remote-Server des Angreifers. Dem anvisierten Opfer wird dann entweder ein sauberes oder ein fast unmerklich modifiziertes und schadhaftes Bild mit einem Skript im Alphakanal ausgegeben. Die Modifikation ist kaum wahrnehmbar, da sich lediglich der Farbton des Endbildes geringfügig von dem der originalen Version unterscheidet.

Mit der bereits bekannten Internet Explorer-Sicherheitslücke CVE-2016-0162 versucht das verschlüsselte Skript im Alphakanal zu überprüfen, ob es sich in einer überwachten Umgebung befindet. Wenn es keine Anzeichen eines Monitorings erkennt, leitet es zur Stegano Exploit Kit Zielseite weiter. Die Seite lädt eine Flash-Datei herunter, die in der Lage ist, je nach installierter Flash-Version drei verschiedene Schwachstellen auszunutzen (CVE-2015-8651, CVE-2016-1019, CVE-2016-4117). Anschließend sammelt der ausgeführte Shell-Code Informationen über installierte Sicherheitsprodukte.

Nach einem weiteren Monitoring-Check, lädt sie die verschlüsselte Nutzlast vom selben Server. Der Payload ist als GIF-Bild getarnt. Die Nutzlast wird dann entschlüsselt und über regsvr32.exe oder rundll32.exe gestartet. Bisherige Entdeckungen beinhalteten Backdoors, Banking Trojaner, Spyware, File Stealer und verschiedene Trojan Downloader.

Beobachtung des Stegano Exploit Kits seit 2014

Eine frühere Variante des versteckten Exploit Packs existiert seit mindestens Ende 2014. ESET wurde darauf aufmerksam, als niederländische Kunden von der Malware ins Visier genommen wurden. Im Frühjahr 2015 konzentrierten sich die Angreifer auf die Tschechische Republik, nun haben sie ihren Fokus auf Kanada, Australien und mehrere europäische Länder verlagert.

Zuletzt dienten vor allem große Domains wie Nachrichten-Webseiten, die tagtäglich von Millionen Menschen besucht werden, als „Referrer“ und hosteten die bösartigen Ads. Wird die Maus über die Werbeplatzierung gefahren, zeigt der Browser dem Betrachter zunächst ein normal aussehendes Werbebanner, hinter dem sich jedoch versteckter Schadcode versteckt.

Um Systeme gegen derartige Exploit Kits zu schützen, empfiehlt ESET aktuelle Software und Internet Security Lösungen. Weitere Informationen zu Stegano finden Sie auf dem Blog Welivesecurity.de von ESET.

www.eset.de
 

GRID LIST
DNS

DNS wird zur ersten Verteidigungslinie gegen Cyber-Attacken

F-Secure und die Global Cyber Alliance bekämpfen künftig gemeinsam bösartige URLs mit…
Fisch aus Wasser

Gezielte Cyberangriffe von „MuddyWater“

Unit 42, das Forschungsteam von Palo Alto Networks, hat Cyberangriffe beobachtet, die sie…
Malware

Was Sie jetzt über Malware wissen müssen

Neue Viren, Ransomware und Co erfordern aktuelle Anti-Malware-Programme: Häufig ist die…
DDoS

Mehr komplexe DDoS-Attacken: Gaming-Industrie im Visier

In verschiedenen Ländern sind Ressourcen ins Visier der Angreifer geraten, ebenso wie wir…
Thomas Ehrlich

„Ordinypt“ entpuppt sich als gefährlicher Wiper

Die vermeintliche Ransomware „Ordinypt“ erweist sich als gefährlicher Wiper. Ein…
IT-Sicherheit

BSI Lagebericht: IT-Sicherheit in Deutschland 2017

Dank dem BSI und vielen anderen Security-Forschern liegen uns heute wesentlich mehr…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet