Jena – Der europäische Security-Software-Hersteller ESET hat ein schädliches und unsichtbares Stegano Exploit Kit entdeckt, das bereits Millionen Leser populärer Nachrichten-Webseiten angegriffen hat. Werbebanner auf den Seiten leiten den Traffic an das Exploit Kit um, das dann verschiedene Schwachstellen ausnutzt. Die Ads bewerben oft Anwendungen wie «Browser Defence» oder «Broxu» und verstecken die Malware mit hohem Aufwand.
Seit mindestens 2014 versucht das Stegano Exploit Kit unter dem Radar zu bleiben. ESET hat es nun in einer Bannerwerbung ausfindig machen können und entdeckt, dass sogar komplexe steganografische Verfahren zur Umgebungsüberprüfung zum Einsatz kamen. Im Fall einer Kompromittierung standen Backdoors, Spywares und Banking-Trojanern Tür und Tor offen.
Bösartige Bildmodifikation kaum wahrnehmbar
Bei einem Angriff sendet ein initiales Skript selbstständig Informationen über den Computer des Opfers an Remote-Server des Angreifers. Dem anvisierten Opfer wird dann entweder ein sauberes oder ein fast unmerklich modifiziertes und schadhaftes Bild mit einem Skript im Alphakanal ausgegeben. Die Modifikation ist kaum wahrnehmbar, da sich lediglich der Farbton des Endbildes geringfügig von dem der originalen Version unterscheidet.
Mit der bereits bekannten Internet-Explorer-Sicherheitslücke CVE-2016-0162 versucht das verschlüsselte Skript im Alphakanal zu überprüfen, ob es sich in einer überwachten Umgebung befindet. Wenn es keine Anzeichen eines Monitorings erkennt, leitet es zur Stegano-Exploit-Kit-Zielseite weiter. Die Seite lädt eine Datei herunter, die in der Lage ist, verschiedene Schwachstellen auszunutzen (CVE-2015-8651, CVE-2016-1019, CVE-2016-4117). Anschliessend sammelt der ausgeführte Shell-Code Informationen über installierte Sicherheitsprodukte.
Nach einem weiteren Monitoring-Check, lädt sie die verschlüsselte Nutzlast vom selben Server. Der Payload ist als GIF-Bild getarnt. Die Nutzlast wird dann entschlüsselt und über regsvr32.exe oder rundll32.exe gestartet. Bisherige Entdeckungen beinhalteten Backdoors, Banking Trojaner, Spyware, File Stealer und verschiedene Trojan Downloader.
Beobachtung des Stegano Exploit Kits seit 2014
Eine frühere Variante des versteckten Exploit Packs existiert seit mindestens Ende 2014. ESET wurde darauf aufmerksam, als niederländische Kunden von der Malware ins Visier genommen wurden. Im Frühjahr 2015 konzentrierten sich die Angreifer auf die Tschechische Republik, nun haben sie ihren Fokus auf Kanada, Australien und mehrere europäische Länder verlagert.
Zuletzt dienten vor allem grosse Domains wie Nachrichten-Webseiten, die tagtäglich von Millionen Menschen besucht werden, als «Referrer» und hosteten die bösartigen Ads. Wird die Maus über die Werbeplatzierung gefahren, zeigt der Browser dem Betrachter zunächst ein normal aussehendes Werbebanner, hinter dem sich jedoch versteckter Schadcode versteckt.
Um Systeme gegen derartige Exploit Kits zu schützen, empfiehlt ESET aktuelle Software und Internet-Security-Lösungen. Weitere Informationen zu Stegano finden Sie auf dem Blog Welivesecurity.de von ESET unter http://www.welivesecurity.com/deutsch/2016/12/07/stegano-greift-leser-bekannter-webseiten/. (ESET/mc/ps)
Über ESET
ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu geniessen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Bratislava, San Diego, Singapur und Buenos Aires.
