Resim Dosyalarının Piksellerine Saklanan Zararlı!

Ekranınızda beliren bir remin pikselleri içerisinde, bilgisayarınızı ele geçirecek bir zararlı olabileceği hiç aklınıza gelir miydi?

Internet Explorer'ı halen kullanmıyorsanız, muhtemelen Eset araştırmacıları tarafından keşfedilen yeni kötü amaçlı yazılımlar hakkında endişelenmenize gerek yok. Ama kullanıyorsanız, Stegano exploit kitinin, usta korsanların, reklamları kullanarak bilgisayarlara nasıl zararlı bulaştırdığını bilmenizde yarar var. Daha doğrusu bu kit, reklamlarda kullanılan GIF'lerin piksellerine zararlı kodları saklayabiliyor. Tehlike son iki yıldır gizli olarak çalışıyor ve özellikle kurumsal ödeme ve bankacılık hizmetlerini hedefliyor.

Peki bu exploit büyük reklam ağlarının kullandığı güçlü anti-malware teknolojilerinden nasıl kurtuluyor? Reklam sunulduktan sonra, bir çevre kontrolü çalıştıran özel, gizlenmiş bir javascript söz konusu. 

Yukarıda gösterildiği gibi, görüntü çıplak gözle bakıldığında normal görünüyor. Görüntü zumlandığında, kötü amaçlı QR benzeri kod içeren bir piksel deseni görebilirsiniz. Başka bir komut dizisi, bilinen bir Internet Explorer güvenlik açığını kullanarak kodları tarıyor; ayıklıyor ve çalıştırıyor. Daha sonra, paket yakalama, sanal alan oluşturma, VM'ler ve diğer güvenlik artırıcı ürünler için makineyi yeniden denetliyor. Ayrıca grafiklerin ve güvenlik sürücülerinin gerçek bir PC'de çalıştığının da kontrol edilmesini sağlıyor.

Buradan, 1 piksellik bir iFrame yükleniyor ve TinyURL aracıyla yeni bir exploit sitesine yönlendirme yapılıyor. Açılış sayfası, Internet Explorer'ın varlığını denetliyor ve başka bir Flash dosyası içeren bir Flash dosyası yükleniyor. Kod, bulduğu Flash sürümüne bağlı olarak üç istismardan birini sunabiliyor. Kontrol etmek için bilgiler sunucuya geri gönderiliyor; tekrar GIF dosyası olarak kodlanıyor. Sunucu, son yükü indirmek için gerekli olan şifre kabuğu koduyla birlikte üç Flash güvenlik açıkları istismarından birini göstermek için bir kodu geri gönderiyor.

Belli dosya türlerinin bir güvenlik analisti tarafından gözetlenmediğinden emin olmak için başka bir kontrol daha yapılıyor. Hiçbir şey algılanmazsa, işlem başlatılıyor.

Buradan, bir arka kapı, keylogger, ekran görüntüsü üreticisi ve video yapıcı ile enfekte olabilirsiniz. Bu noktada, hırsızlar herhangi bir dosyayı çalabiliyor ve bahsedildiği gibi, genellikle bankacılık sektörünü hedef alıyor.

Bunların hepsi siz çok karışık görünebilir ama sonuçta hacker'ların işine yaradığı açık. Ekip, "Stegano exploit kiti, en az 2014'ten beri radar altında uçmaya çalışıyor" diyor ve şimdiye kadar hiç kimse onu fark etmedi.

Çözüm mü? Dilerseniz ilgili bir güvenlik paketini satın almak ya da, Internet Explorer kullanmayı bir an önce bırakmak...

Sonraki Haber

Forum