Stegano, la campagna di malvertising che nasconde codice dannoso nei pixel dei banner

Stegano, la campagna di malvertising che nasconde codice dannoso nei pixel dei banner

Il canale alpha, che determina la trasparenza dei pixel, usato per occultare frammenti di codice dannoso per scaricare malware. La minaccia ha colpito utenti Internet Explorer sfruttando inoltre vulnerabilità di Flash

di pubblicata il , alle 12:01 nel canale Sicurezza
 

La società di sicurezza Eset ha fatto luce su una campagna di malvertising (banner pubblicitari contenenti codice dannoso) che si è abbattuta nel corso dei due mesi passati su milioni di utenti della rete. Battezzata con il nome di "Stegano", la campagna risale in realtà al 2014 anche se i riscontri più significativi si hanno dall'inizio di ottobre, quando gli autori sono riusciti a far circolare i banner compromessi su una varietà di siti web di primo piano, ciascuno con milioni di visitatori quotidiani.

Il nome dato alla campagna è ispirato dalla parola steganografia, cioè la tecnica di nascondere messaggi segreti all'interno di un documento. In questa campagna, infatti, gli attaccanti sono riusciti a nascondere parti del codice dannoso nei parametri del canale alpha che controlla la trasparenza dei singoli pixel che compongono i banner pubblicitari. Il codice di attacco va ad alterare il colore di parti dell'immagine, ma le variazioni sono pressoché invisibili all'occhio umano.

Dopo aver verificato che il browser preso di mira non stia operando in un ambiente virtuale o sia protetto da altre tipologie di misure di sicurezza, lo script reindirizza il browser verso un sito che ospita tre exploit per vulnerabilità di Flash, già patchate con gli ultimi aggiornamenti. Le vulnerabilità Flash sfruttate sono CVE-2015-8641, CVE-2016-1019, e CVE-2016-4117.

"Abbiamo osservato la presenza di siti web importanti, inclusi siti di notizie che sono visitati ogni giorno da milioni di persone e che fungono da referrer ospitando le inserzioni compromesse. Una volta che lo spazio di un'inserzione è stato agganciato, il browser mostrerà un banner ordinario all'utente, anche se c'è molto di più di una semplice pubblicità" osservano i ricercatori, che non hanno voluto rivelare i nomi dei siti web a loro insaputa complici.


L'aspetto dei banner dannosi, usati nella campagna malvertising Stegano

Le inserzioni promuovono applicazioni "Browser Defence" e "Broxu" e hanno preso di mira il browser Internet Explorer. Lo script nascosto nei pixel sfrutta una vulnerabilità di IE - ora patchata - conosciuta con il codice di CVE-2016-0162 per ottenere informazioni sul sistema dell'utente. Tra i vari dettagli, lo script controlla la presenza di strumenti di packet capture, sandboxing e software di virtualizzazione, oltre a numerosi altri prodotti di sicurezza.

Le macchine che appaiono prive di sistemi di protezione e presentano una versione vulnerabile di Flash sono quindi reindirizzate al sito che contiene gli exploit, che può erogare due tipologie di malware: la famiglia Ursnif, costituita principalmente da moduli per la sottrazione di credenziali email, logging di tastiera, screen-capture e operare come backdoor, e la famiglia Ramnit, che grossomodo può svolgere le precedenti funzioni ma è principalmente indirizzata al settore bancario. Gli autori della campagna hanno inoltre adottato una serie di misure aggiuntive per assicurarsi che i sistemi presi a potenziale bersaglio non appartengano ad utenti sensibili all'aspetto della sicurezza e che possano individuare cosa stia accadendo. Oltre al controllo che lo script esegue sulla macchina, viene eseguito un ulteriore controllo dal server exploit prima di proseguire con l'attacco.

Per eseguire il codice nascosto, il banner dannoso va a caricare una versione pesantemente modificata di Countly, un pacchetto opensource per misurare il traffico dei siti web. Il JavaScript analizza la struttura RGBA dell'immagine ed estrae il codice occultato nei pixel e lo esegue e dal momento che nel JavaScript in sé non vi è nulla di dannoso, i circuiti pubblicitari non riescono ad identificare quel che accade.

Eset ha riscontrato che gli utenti che sono stati esposti alla campagna sono concentrati principalmente in Canada, Regno Unito, Australia, Spagna e Italia, ovvero i paesi serviti dai network pubblicitari compromessi. Le precedenti versioni della campagna, nel 2014 e nel 2015, hanno preso di mira utenti dei Paesi Bassi e della Repubblica Ceca.

Nonostante la campagna abbia preso di mira solamente utenti Internet Explorer con versioni non aggiornate di Flash, è interessante comprendere la tecnica con cui Stegano va a nascondere codice dannoso nei pixel di un banner. Non v'è ragione di escludere che future campagne di malvertising (o campagne in corso non ancora scoperte) possano sfruttare vulnerabilità zero-day capaci di colpire molte più persone. E' auspicabile che i network pubblicitari adottino misure avanzate per scoprire questo genere di campagne, fino a quando ciò non avverrà la minaccia non avrà termine.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

16 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Portocala07 Dicembre 2016, 12:32 #1
Ho chiuso dopo "vulnerabilità di Flash"
Axios200607 Dicembre 2016, 12:45 #2
Nonostante la campagna abbia preso di mira solamente utenti Internet Explorer con versioni non aggiornate di Flash, è interessante comprendere la tecnica con cui Stegano va a nascondere codice dannoso nei pixel di un banner.


Internet Explorer e Flash... la stessa sicurezza di questo cancello... Link ad immagine (click per visualizzarla)
Varg8707 Dicembre 2016, 12:47 #3

Flash Player deve sparire dal web

Estirpate flash.
Estirpate flash.
Estirpate flash.
Estirpate flash.
Estirpate flash.
Estirpate flash.
Estirpate flash.
marcorrr07 Dicembre 2016, 12:53 #4
Originariamente inviato da: Portocala
Ho chiuso dopo "vulnerabilità di Flash"


Fosse vero quello che dici non avresti commentato.
LorenzAgassi07 Dicembre 2016, 14:25 #5
"[B][COLOR="DarkRed"]Abbiamo osservato la presenza di siti web importanti, inclusi siti di notizie che sono visitati ogni giorno da milioni di persone e che fungono da referrer ospitando le inserzioni compromesse.[/COLOR][/B]




La cosa più importante da notare ovvero quella qua sopra nel quote non l'ha notata nessuno = corrompono siti sul Web che è una bellezza
SpyroTSK07 Dicembre 2016, 14:49 #6
C'erano una volta tanti siti con pubblicità che erano talmente pieni di pubblicità che ancora prima di incominciare leggerli...fine.

Ma in realtà apparve AdBlock che permise di bloccare la pubblicità, ma non appena iniziò a "vendere" pubblicità "buona", fine.

E così questa fiaba fu tramandata da tante generazioni, finchè qualcuno chiese a qualcun'altro come fermarle e fu così che nacque uBlock Origin.

Questa volta le pubblicità non tornarono più e fine.

La gente fu così contenta che fine.


(https://www.youtube.com/watch?v=LuNduPnPawE grazie Sio )
Ultram8207 Dicembre 2016, 15:49 #7
Originariamente inviato da: Varg87
Estirpate flash.
Estirpate flash.
Estirpate flash.
Estirpate flash.
Estirpate flash.
Estirpate flash.
Estirpate flash.


Ok, vogliamo rimuovere definitamente Flash da Internet?
Ritorniamo ai video che si aprono tramite applicazione esterna e non embeddate nelle pagine Web
Rubberick07 Dicembre 2016, 16:01 #8
Originariamente inviato da: Ultram82
Ok, vogliamo rimuovere definitamente Flash da Internet?
Ritorniamo ai video che si aprono tramite applicazione esterna e non embeddate nelle pagine Web


ma guarda c'e' il supporto html5 per video e audio da na vita ormai.. sono da prendere a calci le ditte che non hanno ancora fatto il porting
eddie8107 Dicembre 2016, 16:06 #9
Originariamente inviato da: Rubberick
ma guarda c'e' il supporto html5 per video e audio da na vita ormai.. sono da prendere a calci le ditte che non hanno ancora fatto il porting


Siti porno per lo più (Questo me lo ha detto un amico di mio cugino ovviamente )
LorenzAgassi07 Dicembre 2016, 16:17 #10
Originariamente inviato da: eddie81
Siti porno per lo più



C'è crisi anche per loro e tutte le relative "attrici"

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^