En omfattande så kallad malvertising attack äventyrade även de mest pålitliga hemsidorna

Den omfattande malvertisment-kampanjen lanserades i oktober 2016 av Stegano EK (exploit kit), vilket äventyrade t.o.m. pålitliga och välkända hemsidor som t.ex. Yahoo och MSN. Stegano EK har varit aktiv sedan 2014. I början av sin karriär påfrestade det danska användare genom att rikta in sig på danska hemsidor. 2015 bytte detta EK och började istället påfresta tjeckiska användare. I sin senaste attack vidgade skadeprogrammet Stegano sin vy och satte kanadensiska, engelska, australienska och italienska användare som mål.

Hemsidorna som blivit injicerade med den skadliga koden var de mest populära nyhetsplattformarna online. Detta noterade IT-säkerhetsanalytiker från ESET:


stegano-malvertising-campaign-2-viruses

We can say that even some of the other major exploit kits, like Angler and Neutrino, are outclassed by the Stegano kit in terms of referrals – the websites onto which they managed to get the malicious banners installed. We have observed major domains, including news websites visited by millions of people every day, acting as referrers hosting these advertisements.

Specifikt uttryckt så var det de skadliga annonserna som implementerades i domänerna. För att vara mer exakt – de tre sårbarheterna i Adobe Flash (t.ex. CVE-2015-8651, CVE-2016-1019 and CVE-2016-4117) utnyttjades för att bifoga den skadliga koden av Stegano inuti de individuella pixlarna av PNG filen av banderoller, annonserade Browser Defence och Broxu produkter. Javascript använder för det senaste syftet.

Stegano EK agerade även som en nedladdare av skadeprogram genom att installera antingen Ursnif eller Ramnit till det infekterade systemet. Skadeprogrammet Ursnif är ett data-stjälande virus i första hand. Dessutom kan det sprida bakdörrar, spionprogram och filinfekterare. Medans skadeprogrammet Ramnit är också den informationsstjälande typen av hot, men är mer förknippad med stölder av bankkontons användarnamn och lösenord. De påverkade systemen kommer även göra sig mer mottagliga för andra skadeprogram. Som ingengörerna på ESET anmärke på – Stegano EK kan möjligen mutera genom att installera förödande infektioner som t.ex. ransomwares.

En intressant sak är att endast användare av Internet Explorer påverkades av Stegano attacken. Eftersom den utnyttjade sårbarheten CVE-2016-0162 internetskurkar att upptäcka om de träffat en användare eller ett omvänt analys-system som startats av säkerhetsforskare. Dessutom så lät sårbarheten kaparna att känna till om det inriktade systemet var skyddad av ett säkerhetsverktyg eller inte. Därav är det av enorm vikt att använda ett uppdaterat program, eftersom det ärprogrammet som vars sårbarheter har täppts igen. Och självklart för att ha ett pålitligt antivirusprogram körandes på datorn.

Sources: ibtimes.co.uk and bleepingcomputer.com.

 

Om författaren

 
 
 
 

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *