Nuevo Exploit Kit, denominado Stegano, oculta código malicioso en píxeles de una imagen

Resultado de imagen para Stegano Exploit Kit

Durante los últimos dos meses, un nuevo exploit kit ha estado al servicio de código malicioso oculto en los píxeles de anuncios de la bandera por medio de una campaña de publicidad maliciosa que ha estado activo en varios sitios web de alto perfil.

Descubierto por los investigadores de seguridad de ESET, este nuevo exploit kit se denomina Stegano , de la palabra esteganografía, que es una técnica para ocultar el contenido dentro de otros archivos.

En este escenario particular, los operadores de campaña Malvertising escondieron código malicioso dentro de las imágenes PNG utilizados para anuncios publicitarios.

Los ladrones ocultaron un código malicioso RGBA valor alfa-transparencia de un píxel

Los ladrones tomaron una imagen PNG y alteraron el valor de transparencia de varios píxeles. Ellos empacan la imagen modificada como un anuncio, para los que compraron pantallas de anuncios en varios sitios web de alto perfil.

Dado que un gran número de redes de publicidad permite a los anunciantes publicar el código JavaScript con sus anuncios, los ladrones también incluyen código JS que analizar la imagen, extraer los valores de transparencia de píxeles, y el uso de una fórmula matemática, convertir esos valores en un personaje.

fórmula Stegano
Fórmula utilizada por el Stegano explotar kit para extraer el código malicioso de imágenes [Fuente: ESET]

Dado que las imágenes tienen millones de píxeles, los ladrones tenían todo el espacio que necesitaban para empacar código malicioso en el interior de una foto PNG.

Sólo los usuarios de Internet Explorer dirigida

Cuando se extrae, este código malicioso podría redirigir al usuario a un intermediario ULR, llamada puerta, donde el servidor host se filtraría usuarios.

Este servidor sólo aceptar conexiones de usuarios de Internet Explorer. La razón es que la puerta podría explotar la vulnerabilidad CVE-2.016 hasta 0.162 que permitió a los ladrones para determinar si la conexión de vino de un usuario real o un sistema de análisis inverso empleado por investigadores de seguridad.

Además, este IE también explotan permitió que el servidor de puerta para detectar la presencia de software antivirus. En este caso, el servidor podría interrumpir la conexión sólo para evitar la exposición de su infraestructura y desencadenar una advertencia de que alertaría al usuario y la empresa de seguridad.

Stegano exploit kit se basa en defectos de Flash para infectar a los usuarios

Si el servidor de puerta considerará el objetivo valioso, entonces sería redirigir al usuario a la etapa final, que era el exploit kit de sí mismo, alojado en otro URL.

El kit Stegano explotar utilizaría tres vulnerabilidades de Adobe Flash (CVE-2015-8651, CVE-2016-1019 CVE-2016-4117 o) para atacar el PC del usuario, y por la fuerza descargar e iniciar la ejecución en distintas cepas de malware.

Hasta ahora, la Stegano explotar kit ha empujado a los troyanos bancarios Ursnif y Ramnit, pero ESET dice que sería muy fácil para los ladrones para cambiar la carga útil de malware final a algo más peligroso, como una familia ransomware.

Todas estas operaciones descritas anteriormente son automatizados y por lo general se llevan a cabo en el lapso de uno a dos segundos. Como tal, la mejor manera de protegerse contra las campañas de publicidad maliciosa es siempre asegurarse de que se está ejecutando el software hasta la fecha, y el uso de algún tipo de producto de seguridad que se pueden recoger a estas amenazas antes de que hagan cualquier daño.

ESET ha negado a nombrar los sitios donde la campaña maliciosa estaba activo, pero dijo que estos sitios atraen a millones de usuarios al día y que los anuncios maliciosos eran para los productos denominados “Defensa Browser” y “Broxu.”

A continuación se muestra una infografía que detalla ESET cadena de explotar Stegano:

 

Stegano explotar cadena de kits

 

 

Fuente:  bleepingcomputer

Follow me:
Twitter
Visit Us
Facebook
Facebook
Instagram
RSS
Follow by Email

También te puede interesar

Deja un comentario

error: Content is protected !!