viernes, 16 de diciembre de 2016

Código escondido en el pixel de una imagen.


Si ha visitado algún sitio web popular durante los últimos dos meses, es posible que su computadora se haya infectado, gracias a un nuevo kit de exploits descubierto por investigadores de seguridad.

Los investigadores del proveedor de antivirus ESET dio a conocer un informe el martes que conste que han descubierto un paquete de exploits, apodado Stegano, ocultar código malicioso en los píxeles de anuncios publicitarios que se encuentran actualmente en rotación en varios sitios web de noticias de alto perfil.

Stegano originalmente se remonta a 2014, pero desde principios de octubre de este año, los delincuentes cibernéticos han logrado que los anuncios maliciosos se muestran en una variedad de sitios de noticias de renombre sin nombre, cada uno con millones de visitantes diarios.


Stegano deriva de la palabra esteganografía , que es una técnica de ocultar mensajes y contenidos dentro de una imagen gráfica digital, hacer que el contenido imposible de detectar a simple vista.

En esta campaña particular de malvertising, los operadores ocultan código malicioso dentro del canal alfa de la imagen PNG transparente, que define la transparencia de cada píxel, alterando el valor de transparencia de varios píxeles.

Los operadores de campañas malvertising envasaron entonces la imagen alterada como un anuncio y lograron mostrar esos anuncios maliciosos en varios sitios web de alto perfil.

Según los investigadores, los anuncios maliciosos promueven aplicaciones llamadas "Browser Defense" y "Broxu", y la metodología hace que sea difícil para las redes publicitarias detectar.

Aquí está cómo funciona el ataque de Stegano:


Una vez que un usuario visita un sitio que aloja publicidad malintencionada, el script malicioso incrustado en el anuncio informa sobre el equipo de la víctima al servidor remoto del atacante sin ninguna interacción del usuario.

El código malicioso utiliza la vulnerabilidad CVE-2016-0162 en el explorador de Internet Explorer de Microsoft para escanear el equipo de destino para ver si se está ejecutando en la máquina de un analista de malware.

Después de verificar el navegador de destino, el script malicioso redirecciona el navegador a un sitio web que alberga explotaciones de Flash Player para las tres vulnerabilidades de Adobe Flash que ahora están protegidas: CVE-2015-8651, CVE-2016-1019 y CVE-2016-4117.

Simplemente visite un sitio, y usted será hackeado en sólo 2-3 seg

A continuación se muestra un infograph de ESET que explica el funcionamiento del ataque de explota de Stegano:




Todas las operaciones anteriores se ejecutan automáticamente sin ninguna interacción del usuario y tiene lugar en el lapso de sólo 2-3 segundos.

Hasta ahora, el kit de hazaña Stegano ha empujado a varios descargadores de troyanos, los troyanos bancarios Ursnif y Ramnit, puertas traseras, spyware y ladrones de archivos.

El kit de la hazaña de Stegano fue utilizado inicialmente en 2014 para apuntar a la gente en los Países Bajos, y entonces en 2015, movido encendido a los residentes en la República Checa. La última campaña de ataque está dirigida a personas de Canadá, Reino Unido, Australia, España e Italia.

La mejor manera de protegerse contra cualquier campaña malvertising es siempre para asegurarse de que está ejecutando el software y las aplicaciones actualizadas. También use software de antivirus de renombre que puede detectar esas amenazas antes de que infecten su sistema.