Malware verspreidt zich pixels in banners

Onderzoekers van beveiligingsbedrijf ESET laten weten dat zij een exploitkit hebben ontdekt die zij de naam 'Stegano' hebben gegeven, omdat het maatregelen neemt om zichzelf te verbergen. Het verspreidt malware door pixels in advertentiebanners.

De kwaadaardige advertenties zijn sinds oktober vooral aanwezig op nieuwswebsites, aldus de onderzoekers. Het gaat om banners voor de producten 'Broxu', een tool om schermafbeeldingen te maken, en 'Browser Defence', dat de browser van gebruikers moet beschermen. De exploitkit zou sinds 2014 al actief zijn. Destijds richtte deze zich voornamelijk op Nederlandse gebruikers. Daarna verlegden de criminelen erachter hun aandacht naar Tsjechië, gevolgd door bijvoorbeeld het VK, Spanje en Italië. De omvang van de exploitkit zou te vergelijken zijn met andere grote varianten, waaronder Angler en Neutrino. De banners zijn aanwezig op sites die door miljoenen gebruikers worden bezocht, aldus het bedrijf.

De infectie vindt plaats doordat een script eerst informatie over het systeem van het slachtoffer doorstuurt naar de server van de aanvaller. Op basis van die informatie krijgt het slachtoffer een schone of een kwaadaardige advertentie te zien. De informatie die doorgestuurd wordt, gaat over de aanwezigheid van packet capture, sandboxing en virtualisatie. Daarmee proberen de criminelen vast te stellen of het daadwerkelijk om een gebruiker gaat of bijvoorbeeld om een beveiligingsonderzoeker. Op die manier proberen zij detectie van hun methodes te voorkomen. Bovendien wordt er gekeken naar de aanwezigheid van beveiligingssoftware en een lek in Internet Explorer, CVE-2016-0162 , dat wordt gebruikt om de detectie uit te voeren. De uiteindelijke infectie vindt plaats via drie Flash-kwetsbaarheden, afhankelijk van de versie.

De criminelen achter Stegano proberen verder detectie te voorkomen door het script dat voor de doorverwijzing naar de exploitkit zorgt te verbergen in de alpha channel van de banners. Daardoor kan het uiterlijk van een kwaadaardige versie van een banner er anders uitzien dan de normale versie. Als de op die manier uitgevoerde javascript-code, in de vorm van zwaar aangepaste countly-code, geen detectiemiddelen op de computer van het slachtoffer vaststelt, wordt een iframe van een enkele pixel buiten het schermbereik aangemaakt. Dat stuurt het slachtoffer door naar de exploitkit via de url-verkorter TinyURL.

Een exploitkit is een softwarepakket dat kwetsbaarheden in het systeem van een slachtoffer identificeert en deze gebruikt om malware te installeren via exploits die gericht zijn op de kwetsbaarheden. In het geval van Stegano gaat het om Ramnit- en Ursnif-malware, die onder andere een backdoor, keylogger een tool voor schermafbeeldingen bevat. De naam Stegano is een referentie naar de term steganografie, waarmee het verbergen van informatie wordt bedoeld. Bijvoorbeeld door een watermerk te gebruiken.

Reageren niet mogelijk