如果近两个月你曾访问了主流网站,那么你的电脑就可能被感染了,这是安全研究人员发现一个新的利用包后得出的结论。
杀毒提供商ESET的研究人员于周二公布了一份报告称,他们发现了一个利用包Stegano(该名词源于英文单词Steganography,意为速式加密,意思是将信息和内容隐藏在数字化图片中,而肉眼很难发现这些信息),它将恶意代码隐藏在广告横幅的像素中,而这些广告图片正在多个高级别新闻站点中流传。
Stegano的出现可追溯至2014年,不过自今年10月起,网络犯罪分子已设法在多个未具名的新闻站点中展示了恶意广告,每天都有数以百万计的访客访问这些网站。
攻击者将恶意代码隐藏在了透明PNG图像中的阿尔法通道(即通过更改多个像素的透明值来定义每个像素的透明度)中,随后将更改的图像打包为广告并设法在多个高级别站点中展示这些恶意广告。研究人员指出,这些恶意广告会推广“Browser Defense”和“Broxu”应用程序,网络很难检测到它们。
一旦用户访问了托管恶意广告的站点,内嵌在广告中的恶意脚本就会在无需用户互动的情况下,将受害者电脑中的信息报告给攻击者的远程服务器。随后恶意代码会使用微软IE浏览器中的漏洞CVE-2016-0162扫描目标计算机以查看是否在恶意软件分析师的设备中运行。分析完目标浏览器之后,恶意脚本会将浏览器重定向至托管着Flash Player利用代码的网站中,而这些利用代码针对的是三个已被修复的Adobe Flash漏洞:CVE-2015-8651、CVE-2016-1019和CVE-2016-4117。
如果利用成功的话,被执行的shell代码会收集计算机上所安装的安全产品信息,并且还会实施另外一次检查来验证是否被监控。如果条件合适,攻击者会伪装成一张gif图像,再次从同一个服务器中下载加密的有效负载。下载完成后,加密负载会通过Windows中的regsvr32.exe和rundll32.exe解密并发布。
研究人员指出,攻击只需2到3秒,且无需用户交互。截至目前,Stegano利用包已经推出多款木马下载器。这款利用包最早用于2014年,目的是攻击荷兰用户,随后在2015年,专门攻击捷克共和国的用户。而最近一次攻击的针对目标是加拿大、英国、澳大利亚、西班牙和意大利。
阻止此类攻击的最佳方式是确保自己运行的是升级过的软件和app,另外使用信誉良好的杀毒软件帮助提早进行系统检测。