/ Security / Exploit-Kit liefert Schadcode in Bildern versteckt

Exploit-Kit liefert Schadcode in Bildern versteckt

Moritz Rosenfeld on December 10, 2016 - 11:05 am in Security

Das Exploit-Kit Stegano liefert seinen Schadcode codiert im Alpha-Kanal von Bildern. Dabei ist Stegano äußerst wählerisch bei seinen Opfern, berichtet die Anitviren-Firma Eset.

Kriminelle lassen sich immer ausgefeiltere Tricks einfallen, um an Tests zum Aufspüren von Schad-Software vorbei zu kommen. Ein recht neues Exploit-Kit greift jetzt sogar zur Steganografie. Dabei versteckt es den eigentlichen Schadcode in den Pixel-Informationen von Bildern in Online-Werbung, berichtet die Antiviren-Firma Eset.

Konkret verbirgt sich der von Stegano gelieferte Schadcode im Alpha-Kanal der Anzeigen-Motive etwa für die angebliche Sicherheits-Software Browser Defence. Der Alpha-Kanal enthält Transparenz-Informationen für jedes einzelne Pixel; durch geringfügige Veränderungen dieser Werte können die Kriminellen ihren Schadcode quasi unsichtbar transportieren. Das steganographisch angereicherte Bild unterscheidet sich optisch nur minimal vom Original.

Buchstabenweise zusammengesetzter Exploit

Die scheinbar harmlose Anzeige enthält JavaScript-Code, die den Alpha-Kanal des Bildes ausliest und die darin versteckten Informationen in Buchstaben konvertiert, die dann zusammengesetzt wieder JavaScript-Code ergeben. Diesen führt Stegano anschließend aus, um eine Sicherheitslücke des Systems etwa im Flash-Plug-in auszunutzen und das System letztlich zu infizieren. Während des gesamten Vorgangs überprüft der Code mehrfach, ob er gerade überwacht wird. In diesem Fall wird lediglich eine harmlose Anzeige präsentiert beziehungsweise der Exploit abgebrochen.

Schützen kann man sich gegen solche Angriffe eigentlich nur, indem man immer die aktuellen Versionen von Betriebssystem, Browser und Erweiterungen einsetzt. Exploit-Kits nutzen fast immer bekannte Lücken, um Systeme zu infizieren und erreichen damit oft erstaunlich hohe Erfolgsquoten. (ju)

Read more on: Source

Comments are disabled