کیت بهره‌برداری Sundown استفاده از نهان‌نگاری را آغاز کرده است

ترندمیکرو روز پنج‌شنبه گزارش داد کیت بهره‌برداری Sundown از روش جدیدی با نام نهان‌نگاری استفاده کرده و بهره‌برداری‌ها را در پرونده‌های تصویری در ظاهر بی‌خطر مخفی می‌کند.

نهان‌نگاری روشی است که اطلاعات مخرب در داخل پرونده‌ها مخفی می‌شود و این روش اخیراً توسط مهاجمان سایبری مورد استفاده قرار می‌گیرد. مهاجمان گروه‌های AdGholas و GooNky در پویش‌های تبلیغاتی از این روش استفاده کردند.

به گزارش ترندمیکرو گروه GooNky تلاش داشت محتویات مخرب پویش تبلیغاتی را در انتهای یک پرونده‌ی تصویری ذخیره کند. گروه AdGholas نیز با استفاده از کیت بهره‌برداری Astrum روش پیچیده‌تری را مورد استفاده قرار داد.
مهاجمان یک اسکریپت را در کانال آلفای تصویر کدگذاری می‌کنند. با سوءاستفاده از کانال آلفا، که شفافیت پیکسل‌ها را تعریف می‌کند، مهاجمان می‌توانند محتوای مخرب خود را در قالب تبلیغات قانونی در رنگِ کمی متفاوت تحویل قربانیان دهند.

در نمونه‌ی جدید از کیت بهره‌برداری Sundown که در ۷ دی گروه ترندمیکرو مورد بررسی قرار داد، استفاده از چنین روشی مشاهده شد. این به‌روزرسانی توجه متخصصان امنیتی را به خود جلب کرده است چرا که این کیت بهره‌برداری قبلاً علاقه‌ای به مخفی کردن بهره‌برداری‌های خود نداشت.
گروه تحلیل تهدیدات ترندمیکرو در توضیحات خود گفت: «در این نسخه‌ی به‌روزرسانی شده، کیت بهره‌برداری در پویش تبلیغاتی یک iframe مخفی را ایجاد می‌کند که به‌طور خودکار به صفحه‌ی Sundown متصل می‌شود. در این صفحه یک تصویر PNG سفید بازیابی و بارگیری می‌شود. این کیت در ادامه داده‌های داخل تصویر PNG را کدگشایی می‌کند تا کد مخرب بیشتری بدست آورد.»

در حملاتی که این شرکت امنیتی مورد بررسی قرار داد، مهاجمان بهره‌برداری‌های مختلفی را در داخل تصاویر PNG مخفی کرده بودند. این آسیب‌پذیری‌ها عبارتند از اشکال در اینترنت اکسپلورر (با شناسه‌های CVE-۲۰۱۵-۲۴۱۹ و CVE-۲۰۱۶-۰۱۸۹) و فلش‌ پلیر با شناسه‌ی CVE-۲۰۱۶-۴۱۱۷.
نسخه‎ی به‌روزرسانی شده‌ی این کیت بهره‌برداری در پویش‌های تبلیغاتی مختلف مورد استفاده قرار گرفته است و در این حملات نیمی از قربانیان در کشورهای ژاپن، کانادا، فرانسه و آمریکا قرار دارند. یکی از قطعه‌ بدافزارهایی که توسط این کیت بهر‌ه‌برداری بر روی ماشین‌های قربانی قرار می‌گیرد، تروجان بانکی Chthonic است.

کیت بهره‌برداری Sundown شهریور سال قبل توجه محققان امنیتی را به خود جلب کرده بود. زمانی‌که اولین بار بود مشاهده می‌شد که در یک کیت، یک آسیب‌پذیری و‌صله‌شده در اینترنت اکسپلورر، مجدداً بهره‌برداری می‌شد. پس از غیب شدن ناگهانی کیت‌های بهره‌برداری بزرگی همچون Angler، Nuclear، Neutrino و Magnitude این کیت یکی از برترین کیت‌ها در زمینه‌ی بهره‌برداری از آسیب‌پذیری‌ها قرار گرفت.
یکی از پویش‌های بزرگ که اخیراً از کیت بهره‌برداری Sundown استفاده کرده، باج‌افزار CryLocker است. در این حملات، مهاجمان برای خارج کردن اطلاعات از سامانه‌های آلوده از پرونده‌های PNG استفاده کرده‌اند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.