Steganoエクスプロイト・キットがピクセルを汚染

ESETの研究者は、毎日数百万人の訪問者を抱える評判の良いニュースサイトに悪質な広告を介して広がる新たな悪用キットを発見しました。

少なくとも2016年10月の初めから、悪意のある人物はInternet Explorerのユーザーをターゲットにしており、Flash Playerの脆弱性についてコンピュータをスキャンしています。 これらの欠陥をコード内で利用して、さまざまな種類のマルウェアをダウンロードして実行しようとしています。

攻撃は、悪意のあるコードが広告バナーを介して配布されているため、悪意のあるマルウェアに分類されます。

さらに悪いことには、責任を負うべき攻撃者は、分析が非常に複雑になり、広範な研究報告が必要とされる、隠匿性の高い、偏執的なな技術を使用しています。

私は、ESETの上級マルウェア研究者の一人であるRobert Lipovskyに、この事件に関する技術的な説明を少なくするよう頼んだ。

あなたの発見はインターネットユーザーにとって何を意味しますか?

悪意のある人物が犠牲者のコンピュータにマルウェアをリモートからインストールできるようにする、新たなエクスプロイトキットにつながる「ポイズンドピクセル」の広告バナーがあることを意味します。

被害者は悪質な広告コンテンツをクリックする必要はありません。 それを表示するウェブサイトを訪れるだけです。 犠牲者のコンピュータが脆弱なバージョンのFlash Playerを実行している場合、悪用された脆弱性を介して自動的にコンピュータが侵害されます。

その後、悪意のある人は自分が選んだマルウェアをダウンロードして実行するのに必要なすべてを持っています。 分析したペイロードには、銀行トロイの木馬、バックドア、スパイウェアなどが含まれていますが、被害者は厄介なransomware攻撃に直面する可能性があります。

この脅威は、ソフトウェアに完全にパッチを当てて、評判の良いセキュリティソリューションで保護することがどれほど重要であるかを示しています。 この特定のケースでは、これらの措置のいずれかによって、この特定の攻撃から完全に保護されます。

この中で、有害なピクセルはどこにありますか?

「Stegano」という名前はステガノグラフィーを指します。

これは悪意のある人が広告のバナーのピクセルで悪意のあるコードの一部を隠すために使用する手法です。 具体的には、各ピクセルの透明度を制御するパラメータでそれを隠します。 これは、ピクチャの色調にわずかな変更を加えるだけで、変更は肉眼では目に見えず、潜在的な犠牲者によっては気付かれません。

攻撃はどのように機能しますか?

私は、下記のスキームがこの場合に起こっていることを説明する最良の方法だと思います:

attack_scheme_simplified_final-768x1053

 

あなたの分析によると、Steganoのエクスプロイトキットの作成者は目に見えないように努力しています。 何が彼らをこれほど偏執的にするのでしょうか?

攻撃者は、広告プラットフォーム上の悪意のあるコンテンツを発見してブロックする対策を回避することに成功し、正当なWebサイトが無意識に何百万人もの被害者に感染したコンテンツを提供しています。

さらに、悪意のあるバージョンの広告は、攻撃者のサーバーによって選択された特定のターゲットグループにのみ配信されます。目標の選択肢の背後にある意思決定のロジックは不明であり、悪意のある人たちが広告プラットフォームの側での疑惑を避けるために役立ちます。

しかし、これらの理由だけで彼らが隠密に滞在しようとする唯一の理由ではありません – そして、それは攻撃者が本当に妄想になる場所です。

Steganoのエクスプロイトキットの背後にある詐欺師たちも、マルウェアを探し求めている経験豊かなサイバーセキュリティチームの捜索に挑戦している。ピクセル内のコードを隠すだけではこのような注意を逃れるほどではないので、コードが監視されているかどうかを検出する一連のチェックを実装しています。何らかのサーベイランスが検出された場合、エクスプロイトキットの活動は停止し、悪質なコンテンツは提供されません。

コードがいつ監視されているかは、どのようにしてわかりますか?

エクスプロイトキットは、主にサンドボックスに座っているかどうか、または検出目的で作成された仮想マシン上で実行されているかどうかを検出しようとします。 また、マルウェアは存在する可能性のあるセキュリティソフトウェアをチェックし、この情報をオペレータに送信します。

どれくらいのユーザーが、既にこの有害なピクセルのバナーを見たのかわかりますか?

私たちの検出システムは、過去2ヶ月間に、非常に人気のあるいくつかのウェブサイト上の100万人以上のユーザーに悪意のある広告が表示されていることを示しています。

これは、ESETLiveGrid®に参加しているユーザーからの独自の遠隔測定のみに基づく、かなり控えめな見積もりです。 結局のところ、これらのウェブサイトの訪問者数は、毎日数百万人にのぼります。

もっと具体的になりますか? 影響を受けたウェブサイトはどれですか?

この研究の目的は、悪意のある人の活動を明らかにし、この脅威からユーザーを安全にすることです。 この場合、影響を受けていることが判明しているウェブサイトの開示は、この点に関して追加の価値を追加するものではありません。

逆に、広告を表示するウェブサイトにバナーが表示される可能性があるため、これらのサイトにアクセスしていないユーザーには、誤った安全感が与えられる可能性があります。

特にターゲットとする広告スペースが完全に制御されていないため、これらの攻撃を防ぐために何もできなかったため、被害を受けたページで被害を受ける可能性のある評判害に言及する必要があります。

エクスプロイトキット攻撃から保護されるためにはどうすればよいですか?

まず、自分のコンピュータの保護に勤勉な人たちが、これらの特定の攻撃から安全であることを再び強調しましょう。 システムとすべてのアプリケーションにパッチを適用し、信頼できるインターネットセキュリティソリューションを使用することは、そのような攻撃を防ぐのに役立つ強力な予防措置です。

しかし、軽率なユーザーの場合、悪意のある広告は深刻な脅威となります。唯一の希望は、悪意のあるバナーが訪問したウェブサイトに表示されないかもしれないことです。

参照:

http://www.welivesecurity.com/2016/12/06/stegano-exploit-kit/

http://www.welivesecurity.com/2016/12/06/readers-popular-websites-targeted-stealthy-stegano-exploit-kit-hiding-pixels-malicious-ads/