Malware infizierte PCs über in GIF-Werbebannern versteckten Code

Wie der Sicherheitsdienstleister ESET berichtet, haben die Autoren eines Stegano genannten Exploit-Kits eine Methode entwickelt, mit der sich Schadsoftware über millionenfach in Werbenetzwerken an zahlreiche Nutzer ausgelieferten GIF-Werbebannern ausliefern ließ. Sie nutzten dazu eine inzwischen beseitigte Schwachstelle des Microsoft-Browsers Internet Explorer aus.

Um ihre Ziele mit Malware zu infizieren, schalteten die Angreifer Werbung für zwei Apps, die mit Javascript "infiziert" war. Dabei warb man ausgerechnet für ein Screenshot-Tool namens Broxu und eine Sicherheits-App namens Browser Defense, wobei die Werbung über einige große Werbevermarkter ausgeliefert wurde, um sie auf großen Nachrichten-Websites mit Millionen Nutzern anzeigen zu lassen. Aufwändiger Infektionsweg des Stegano Exploit Kits Um ihre verseuchte GIF-Werbung auszuliefern, wendeten die Angreifer einige Tricks an. Bei der Auslieferung des Werbebanners wurde ein getarntes Javascript ausgeführt, das prüfte, ob der jeweilige Rechner eventuell in einer Virtual Machine oder ähnlichem lief. Da VMs häufig von Sicherheitsspezialisten genutzt werden, wurde in diesen Fällen ein "sauberes" GIF-Bild ausgeliefert, um nicht aufzufallen. Erkannte das Script jedoch, dass die Werbung an ein potenziell verwundbares System gehen könnte, wurde auch ein entsprechend präpariertes GIF-Bild geladen.

Code im Alpha-Kanal von GIF-Bildern versteckt

Die speziellen GIF-Dateien zeigen auf den ersten Blick ein ganz normales Bild, im sogenannten "Alpha"- bzw. Transparenz-Kanal des Bildes wurde jedoch ein spezielles Pixelmuster versteckt, das im Grunde wie ein QR-Code funktioniert und dementsprechend Daten enthält. Diese Daten wurden von einem weiteren Script erkannt, aus den Bildern extrahiert und mit Hilfe der Schwachstelle im Internet Explorer ausgeführt. Links: normal aussehendes Banner, Rechts: sichtbar gemachter Code im Alpha-Kanal Dabei prüfte die Software angeblich erneut, ob eventuell eine Sandbox, das Abfangen von Paketen, Virtual Machines oder andere Sicherheitsmaßnahmen vorhanden waren. Obendrein wurden sogar die Grafik- und Sicherheitstreiber geprüft, um zu erkennen, ob die Malware tatsächlich auf einem richtigen PC gelandet war. Im Anschluss wurde dann ein nur ein Pixel großer iFrame außerhalb des auf dem Bildschirm sichtbaren Bereichs geladen, über den beim Vorhandensein des Internet Explorers eine Flash-Datei mit verschiedenen Exploits nachgeladen wurde. Erst nachdem all dies erfolgreich war, wurde die eigentliche Malware auf das System geladen.

Auch der letzte Teil auf dem Weg zum Download der eigentlichen "Haupt-Malware" versuchte sich durch die Erkennung bestimmter Dateitypen gegen die Erkennung durch Sicherheitsspezialisten abzusichern. Erst nach all diesen Zwischenschritten wurde die eigentliche Schadsoftware geladen undd gestartet. Letztlich sollten so Backdoors, Keylogger, Screenshot- und Videoaufzeichnungs-Werkzeuge auf die angegriffenen Systeme geschleust werden.

Die Angreifer hatten es angeblich vor allem auf Nutzer aus dem Bankensektor abgesehen, um über deren Rechner Informationen und Daten abzugreifen, mit denen sie langfristig Geld stehlen oder erpressen konnten. Der Stegano Exploit Kit soll seit mindestens 2014 unerkannt seine Runden gemacht habe, so ESET-Forscher. Offen ist dabei auch, ob es tatsächlich erfolgreiche Angriffe auf dieser Basis gab. Ohnehin sollen nur Nutzer verwundbar sein, die den Internet Explorer in einer älteren, ungepatchten Version nutzen und es auch sonst mit der Installation aktueller Sicherheitsupdates nicht so genau nehmen.

Download Malwarebytes - Schutz vor Schadsoftware