Обнаружен новый эксплоит кит Stegano, использующий стеганографию

Исследователи компании ESET сообщают, что как минимум с октября 2016 года через вредоносные рекламные кампании на различных новостных сайтах распространяется новый эксплоит кит Stegano. Он атакует пользователей Internet Explorer, используя уязвимости во Flash Player, и если атака удалась, доставляет на машину жертвы дополнительную малварь.

Набор эксплоитов получил название Stegano из-за техники, которую он использует. Вредоносный код злоумышленники прячут в изображениях, то есть применяют стеганографию. В детальном техническом отчете, исследователи ESET объясняют, что атакующие изменяют в PNG-файлах значение transparency (прозрачность) для нескольких пикселей, а затем используют эти изображения как рекламные баннеры, для которых покупают рекламные места на посещаемых сайтах.

Многие рекламные сети разрешают рекламодателям использовать JavaScript в рекламе, так что злоумышленники добавляют к рекламе JavaScript-код, который парсит изображение, извлекает данные измененных пикселей, используя математическую формулу (см. ниже) и преобразует значения в символы. Так как изображение содержит миллионы пикселей, места для «вшивания» кода злоумышленникам хватает.

Полученные таким образом символы преобразуются в промежуточный URL, гейт, который фильтрует пользователей. Такая ссылка представляет риск только для пользователей Internet Explorer, так как гейт эксплуатирует уязвимость CVE-2016-0162 в IE, чтобы убедиться, что имеет дело с обычным пользователем, а не ИБ-экспертами, и никакой угрозы нет. Также гейт проверяет наличие антивирусного ПО. Если такое обнаруживается, сервер обрывает соединение, чтобы не «засветить» инфраструктуру, а также не спровоцировать срабатывание защитных механизмов. Исследователи ESET отмечают, что авторы Stegano – настоящие параноики, из-за чего анализ эксплоит кита оказался нетривиальной задачей.

Если гейт убедился, что с пользователем все в порядке, жертву переадресуют на другой URL, где ее ожидает первая стадия заражения и эксплуатация уязвимостей во Flash Player (CVE-2015-8651, CVE-2016-1019 и CVE-2016-4117). После успешной эксплуатации багов, на компьютер пользователя устанавливается разнообразная малварь. На данный момент Stegano распространяет банковские трояны Ursnif и Ramnit, однако аналитики опасаются, что вскоре операторы эксплоит кита могут переключиться на что-то более опасное, к примеру, на шифровальщиков.