پیکسل‌ها، آگهی‌های تبلیغاتی و یک بسته‌ی نفوذی؛ حمله به میلیون‌ها کاربر به کمک یک تصویر!

اگر شما هم جزء کاربرانی هستید که در دو ماه اخیر از وب‌گاه‌های پربازدید دیدن کرده‌اید، ممکن است آلوده شده باشید! این آلودگی به لطف یک بسته‌ی نفوذی تازه اتفاق می‌افتد که توسط محققان امنیتی کشف شده است.
محققان شرکت ضدبدافزاری ESET گزارشی را در این مورد ارائه کرده که این گزارش حاکی از آن است که این شرکت موفق به کشف یک بسته‌ی نفوذی ملقب به Stegano شده است، این بسته کد مخرب را در پیکسل‌های بنرهای تبلیغاتی مخفی می‌کند که این بنرها در حال حاضر در چندین وب‌گاه معروف در حال نمایش می‌باشند.
قدمت Stegano به ۲۰۱۴ برمی‌گردد، اما از ابتدای اکتبر این سال میلادی مجرمان سایبری توانسته‌اند آگهی‌های مخربی را به واسطه‌ی آن در وب‌گاه‌های خبری معتبر به نمایش بگذارند، وب‌گاه‌هایی که هر یک میلیون‌ها بازدیدکننده دارند.
Stegano از واژه‌ی Steganography به معنای پنهان‌نگاری مشتق شده است، پنهان‌نگاری شیوه‌ای برای مخفی کردن پیام و محتوای داخل یک تصویر گرافیکی دیجیتال است، این روش باعث می‌شود درک محتوای یک تصویر با چشم غیرمسلح ناممکن شود. در این کمپین تبلیغ‌افزاری خاص، نفوذگران کد مخرب را داخل کانال آلفای تصویر شفاف PNG مخفی می‌کنند، این کد با تغییر مقدار شفافیت چندین پیکسل، میزان شفافیت هر پیکسل را تعریف می‌کند.
در ادامه اپراتورهای این کمپین تبلیغ‌افزاری تصویر بسته‌بندی شده را به یک تبلیغ تغییر می‌دهند و موفق می‌شوند آن آگهی‌های مخرب را در چندین وب‌گاه معروف به نمایش دربیاورند.
به گفته‌ی محققان، این آگهی‌های مخرب برنامه‌هایی به نام Browser Defense و Broxu را منتشر می‌کنند، و روشی که این آگهی‌ها در پیش گرفته‌اند شناسایی آن‌ها را برای شبکه‌های تبلیغاتی دشوار می‌سازد.

نحوه‌ی عمل‌کرد یک حمله‌ی Stegano
هرگاه یک کاربر از وب‌گاهی بازدید کند که میزبانی تبلیغات مخرب را بر عهده دارد، اسکریپت مخرب تعبیه‌شده در تبلیغات به گزارش اطلاعاتی راجع به رایانه‌ی قربانی به کارگزار راه‌ دور نفوذگر می‌پردازد و این کار را بدون مداخله‌ی کاربر انجام می‌دهد.
سپس این کد مخرب از آسیب‌پذیری CVE-۲۰۱۶-۰۱۶۲ در اینترنت اکسپلورر استفاده می‌کند تا رایانه‌ی هدف را پویش کند و دریابد که آیا این رایانه روی یک ماشین تحلیل‌گر بدافزار اجرا می‌شود یا خیر.
اسکریپت مخرب پس از بررسی مرورگر هدف، مرورگر را به یک وب‌گاه تغییر مسیر می‌دهد که میزبانی کدهای نفوذی فلش‌پلیر را بر عهده دارد، کدهای که مربوط به ه آسیب‌پذیری ادوبی فلش‌پلیر هستند که حال وصله شده‌اند:
CVE-۲۰۱۵-۸۶۵۱، CVE-۲۰۱۶-۱۰۱۹، و CVE-۲۰۱۶-۴۱۱۷.
محققان ESET می‌گویند: «پس از سوءاستفاده‌ی موفقیت‌آمیز، شل‌کد اجراشده اطلاعاتی را در مورد محصولات و بسترهای امنیتی نصب‌شده جمع‌آوری می‌کند، که این عادت بارز مجرمان سایبری شکاک است تا مطمئن شوند که تحت نظارت قرار ندارند. چنانچه نتیجه به سود آن‌ها باشد، کد مخرب سعی می‌کند محتوای رمزشده در قالب تصویر گیف را از همان کارگزار مجدداً بارگیری نماید.»
پس از بارگیری محتوای مخرب در رایانه‌ی قربانی، محتوای رمزشده رمزگشایی می‌شود و توسط regsvr۳۲.exe یا rundll۳۲.exe در محیط ویندوز اجرا می‌گردد.

کافی است از یک وب‌گاه بازدید کنید و در کم‌تر از ۲ الی ۳ ثانیه مورد نفوذ قرار گیرید
همه‌ی کاری که این بسته‌ی نفوذی انجام می‌دهد به صورت خودکار و ظرف مدت ۲ تا ۳ ثانیه عملی می‌شود و کاربر هیچ نقشی در آن ندارد.
تاکنون بسته‌ی نفوذی Stegano توانسته مؤلفه‌های بارگیری تروجان، تروجان‌های بانکی Ursnif و Ramnit، در پشتی‌ها، جاسوس‌افزارها، و سازقان پرونده‌ی مختلفی را ارائه نماید.
بسته‌ی نفوذی Stegano اولین بار در سال ۲۰۱۴ برای حمله‌ی سایبری به کاربران هلندی شکل گرفت، سپس در سال ۲۰۱۵ به ساکنان جمهوری چک حمله کرد. آخرین کمپینی که از این بسته استفاده کرده مردم کانادا، انگلستان، استرالیا، اسپانیا و ایتالیا را هدف قرار داده است.
بهترین راه برای حفاظت مقابل کمپین‌های تبلیغ‌افزاری حصول اطمینان از این مطلب است که نرم‌افزارهای به‌روز را اجرا می‌کنید؛ همچنین از ضدبدافزارهای به‌نامی استفاده می‌کنید که قادرند چنین تهدیدهایی را قبل از آسیب رساندن به رایانه‌ی شما شناسایی نمایند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.