用一張照片黑上百萬人——廣告圖片後的惡意程式碼

在過去的兩個月裡，如果你瀏覽過任意一個主流網站，那你的電腦可能已經被感染了。因為，安全研究員發現了一個新的滲透程式碼工具包（exploit kit）。

防毒軟體提供商 ESET 的研究員在週二釋出了一份報告，聲稱他們已經發現了一個滲透程式碼工具包，稱作 Stegano（資訊隱藏）。這個工具包將惡意程式碼隱藏在橫幅廣告畫素中，在幾個非常引人注目的網頁上迴圈播放。

資訊隱藏最早可追溯至2014年。但在今年十月處，網路罪犯設法將這些隱藏有惡意程式碼的廣告放在各種各樣的聲譽良好的新聞網站上，每個新聞網站每日都有上百萬的閱讀者。

Stegano 這個詞由Steganography（隱寫術）衍生而來。Steganography正是一種隱藏數字圖片所含資訊和內容的技術。因此Stegano隱藏的內容，用肉眼是無法識別的。

在這個惡意廣告行為中，操作者將惡意程式碼隱藏到PNG圖片的Alpha Channel中，這個Channel可通過選擇幾個畫素的透明度值來決定每個畫素的透明度。

然後操作者將被選圖片打包為廣告，然後將這些惡意廣告圖片放在一些高調的網站上。

研究者稱，這些惡意廣告在推銷“Browser Defense”和“Broxu”的應用。這樣的話，廣告網站就很難注意到這些廣告背後的惡意程式碼。

Stegano 攻擊是如何生效的呢？

一旦有個使用者瀏覽了一個充滿各種惡意廣告的網站，那麼嵌入在廣告中的惡意指令碼便會，在沒有通知使用者的情況下，將使用者的資訊報告給攻擊者的遠端電腦。

然後，惡意程式碼將利用微軟的IE （Internet Explorer）瀏覽器中的CVE-2016-0162漏洞，掃描中毒電腦，確認其是否在攻擊者的機器上執行。

在驗證完目標瀏覽器後，惡意指令碼會將瀏覽器重新導向一個網站。這個網上群集三個打包的Adobe Flash 漏洞的Flash Player開發程式碼：CVE-2015-8651, CVE-2016-1019, and CVE-2016-4117。

一旦開發成功，一段可執行的指令在下載的安全軟體上收集資訊，並再一次檢查，是否被監控。如果結果可觀，它將會從相同的伺服器上下載加密的有效載荷，並偽裝成為一個GIF 圖片。

一旦下載到受害者的電腦上後，這個加密的有效載荷就會被解密，並通過微軟Windows 的regsvr32.exe或者rundll32.exe啟動。

瀏覽網站，只要2-3秒，你就會被黑

到目前為止，Stegano 滲透程式碼工具包已經推送了很多不同的木馬下載程式，Ursnif、Ramnit、banking trojans、backdoors、spyware和file stealers。

Stegano 開發工具包最初是出現在2014年，目標為荷蘭人。然後在2015年轉移至捷克共和國。最後一次攻擊目標人群轉移至加拿大、英國、澳大利亞、西班牙和義大利。

本文由 Cherie 編譯

原文出自 thehackernews