ESET обнаружила, что миллионы посетителей популярных новостных веб-сайтов стали жертвами нескольких вредоносных объявлений, которые специализировались на перенаправлении пользователей на набор эксплойтов.
Этот набор эксплойтов использовался для компрометации пользователей вредоносным ПО с помощью эксплойтов Flash Player. 
По крайней мере, начиная с октября этого года, пользователи могли столкнуться с рекламой таких приложений, как Browser Defense и Broxu. Ниже приведены баннеры этих рекламных объявлений, которые использовались для показа на веб-сайтах.
Эти рекламные баннеры хранились на удаленных доменах с именами hxxps://browser-defence.com И hxxps://broxu.com .
Интересно отметить, что без каких-либо действий со стороны пользователя первоначальный скрипт веб-страницы передавал информацию о системе потенциальной жертвы на удаленный сервер злоумышленников.
Получив эту информацию, сервер решал, какое изображение баннера следует предоставить клиенту — обычное изображение или его вредоносный аналог.
Вредоносная версия изображения баннера содержит зашифрованный скрипт, расположенный в альфа-канал RGB-изображения.
Этот альфа-канал устанавливает прозрачность каждого пикселя.
Поскольку это изменение не сильно влияет на внешний вид картинки, она лишь незначительно отличается от исходной версии.
Скрипт, закодированный столь необычным образом, эксплуатирует уязвимость в Internet Explorer с идентификатором CVE-2016-0162, а также проверяет свою среду выполнения на предмет обнаружения виртуальной среды.
Если скрипт не обнаруживает никаких признаков того, что аналитики пытаются отследить его активность, он перенаправляет пользователя на целевую страницу эксплойт-кита Stegano с помощью сервиса TinyURL. Целевая страница пытается воспроизвести Flash-файл, который специализируется на эксплуатации трех уязвимостей (CVE-2015-8651, CVE-2016-1019, CVE-2016-4117) в зависимости от того, какая версия Flash Player установлена в системе.
После успешной эксплуатации уязвимости исполняемый шеллкод собирает информацию об установленных в системе продуктах безопасности, а также повторно проверяет среду, в которой выполняется код. Если необходимые условия соблюдены, шеллкод пытается загрузить зашифрованную полезную нагрузку с того же сервера.
Полезная нагрузка также замаскирована под изображение GIF. Затем полезная нагрузка расшифровывается и выполняется с помощью regsvr32.exe или rundll32.exe. В качестве полезной нагрузки мы наблюдали бэкдоры, банковские трояны, похитители паролей и различные трояны-загрузчики.
Мы уже видели более раннюю версию этого эксплойта, использованную при кибератаках на голландских пользователей.
Весной 2015 года злоумышленники специализировались на компрометации пользователей в Чехии, а теперь обратили свое внимание на Канаду, Великобританию, Австралию, Испанию и Италию.
В предыдущих кампаниях злоумышленники пытались замаскировать свою вредоносную деятельность под видом рекламы.
В наборе эксплойтов использовались доменные имена, начинавшиеся с «ads», а также имена URI, содержащие watch.flv, media.flv, Delivery.flv, player.flv или mediaplayer.flv. В ходе текущих кибератак злоумышленники усовершенствовали свою тактику; они начали использовать взломанные ими рекламные сети, которые перенаправляли пользователей в разных странах на набор эксплойтов.
Особенностью текущих кампаний было то, что такие популярные эксплойты, как Angler и Neutrino, злоумышленники использовали в меньшей степени, чем эксплойт-кит Stegano. Количество редиректов на Stegano с сайтов с вредоносными баннерами было выше, чем в случае с Angler и Neutrino. Мы заметили, что эти вредоносные баннеры размещались на крупных законных веб-сайтах, включая новостные веб-сайты, которые ежедневно посещают миллионы людей.
В подавляющем большинстве случаев реклама специализировалась на продвижении продукта под названием «Защита браузера».
Не так давно мы обнаружили баннеры, рекламирующие программное обеспечение под названием «Broxu».
Однако для простоты понимания мы остановимся на вредоносной кампании «Защита браузера».
Кроме того, обе кампании практически идентичны по своим свойствам.
Рекламное объявление было размещено на сайте Browser-defence.com и имело формат URI, аналогичный следующему.
hxxps://browser-defence.com/ads/s/index.htmlЭw=160&h=600 
Документ index.html загружает скрипт countly.min.js и предоставляет ему начальные параметры при выполнении.
Однако этот скрипт не является библиотекой для работы с биржевой платформой и веб-аналитикой с открытым исходным кодом.
Злоумышленники используют сильно модифицированную и запутанную версию этой библиотеки, из которой был удален определенный код и вставлен новый.
Этот новый код отвечает за первоначальную проверку среды.
Информация о среде затем отправляется на удаленный сервер в виде параметров файла gif, которые зашифрованы XOR. Информация об этом представлена на скриншоте выше.
Следующая информация о среде отправляется на удаленный сервер.
systemLocale^screenResolution^GMT offset^Date^userAgent^pixelRatio После этого скрипт запрашивает у сервера рекламный баннер.
Сервер может ответить как обычной версией изображения баннера, так и вредоносной, в зависимости от информации о среде, в которой он был запущен.
Затем скрипт пытается загрузить баннер и прочитать информацию о его структуре RGBA. В случае получения вредоносной версии скрипта он декодирует код JavaScript и некоторые переменные из альфа-канала изображения.
Стеганография реализована следующим образом: два последовательных значения альфа представляют собой десятки и единицы символов кода, закодированных как отличие от 255 (полная альфа).
Кроме того, чтобы замаскировать изменения, которые можно обнаружить невооруженным глазом, разница минимизируется с помощью смещения 32. Например, если бы исходные несколько байтов альфа содержали значения 239, 253, 237, 243, 239, 237, 241, 239, 237, 245, 239, 247, 239, 235, 239 и 237, они бы расшифровать в слово «функция» (function).
В этом примере первые байты альфа-значения 239 и 253 соответствуют символу «f».
Более пристальный взгляд на один из чистых баннеров и его вредоносный аналог показывает небольшую разницу.
(слева направо: чистое изображение, вредоносный аналог, вредоносный аналог, расширенный для маскировки)
Альфа-канал неиспользуемых пикселей заполняется какими-то псевдослучайными значениями, чтобы сделать т.н.
«Альфа-шум» распределяется равномерно, что усиливает маскировку.
После успешного извлечения скрипт проверяет целостность кода JavaScript и сравнивает полученный хеш с заранее фиксированным значением хеша, указанным в конце изображения.
После этого скрипт выполняется.
После запуска скрипт пытается проверить среду своего исполнения, а именно веб-браузер и работающую ОС, на наличие средства перехвата сетевых пакетов, песочницы, ПО виртуализации, а также наличие установленных продуктов безопасности.
В то же время код сценария также пытается использовать уязвимость CVE-2016-0162 в Internet Explorer. Он также проверяет наличие в системе различных графических драйверов и драйверов безопасности для обнаружения автоматического анализа вредоносных программ.
Если ни один из вышеперечисленных признаков в системе не обнаружен, скрипт создает IFRAME (размером в один пиксель) и устанавливает свойство window.name, которое будет использоваться в дальнейшем.
После этого пользователь перенаправляется на TinyURL по https. Затем TinyURL перенаправляет пользователя на http-страницу, на которой находится набор эксплойтов.
После успешного перенаправления целевая страница эксплойта проверяет UserAgent на соответствие веб-браузеру Internet Explorer, затем загружает Flash-файл и устанавливает FlashVars через зашифрованный файл JSON. Целевая страница также выступает в качестве посредника для Flash и удаленного сервера через внешний интерфейс и обеспечивает функции шифрования и дешифрования.
Загружаемый Flash-файл содержит внутри еще один Flash-файл и, как и комплект эксплойтов Neutrino, содержит три разных эксплойта для разных версий Flash Player. На втором этапе Flash-файл расшифровывается программой FlashVars. Он содержит файл JSON с URI для отправки сообщения об ошибке, имена функций JS для внешнего интерфейса, имя функции обратного вызова и некоторые неиспользуемые данные.
{“a”:”\/e.gifЭts=1743526585&r=10&data=””,b”:”dUt””,c”:”hML””,d”:true”,x”:”\/x .
gifЭts=1743526585&r=70&data="} Затем он вызывает JavaScript через ExtelnalInterface.call(), который проверяет версию Flash и передает эту информацию на сервер через целевую веб-страницу.
Это делается с помощью зашифрованного параметра запроса URI для файла GIF. Алгоритм шифрования довольно прост и использует значение window.name из объявления.
Ответом является GIF-изображение, в котором первые байты отбрасываются, остальные расшифровываются по тому же алгоритму, а затем управление передается обратно во Flash. 
Ответ представляет собой JSON, содержащий символ, идентифицирующий используемый эксплойт (CVE-2015-8651, CVE-2016-1019 или CVE-2016-4117), пароль для соответствующего эксплойта и готовый шеллкод с URI полезной нагрузки.
.
Шеллкод расшифровывается на последнем этапе эксплуатации уязвимости.
Он пытается загрузить в систему зашифрованную полезную нагрузку, которая снова замаскирована под изображение GIF. На первом этапе своего выполнения шеллкод также проверяет среду, в которой он выполняется.
Особенно интересует проверка наличия следующего ПО.
- vmtoolsd.exe
- VBoxService.exe
- prl_tools_service.exe
- VBoxHook.dll
- SBIEDLL.DLL
- fiddler.exe
- Чарльз.
exe
- Wireshark.exe
- проксификатор.
exe
- procexp.exe
- ollydbg.exe
- Windbg.exe
- eset*, kasper*, avast*, alwil*, panda*, nano a*, bitdef*, Bullgu*, arcabi*, f-secu*, g data*, escan*,trustp*, avg*, sophos*, тренд m*, mcafee*, lavaso*,immune*, clamav*, emsiso*, superanti*, avira*, vba32*, sunbel*, gfi so*, vipre*, microsoft sec*, microsoft ant*, norman*, ikarus* , fortin*, filsec*, k7 com*, ahnlab*,malwareby*, comodo*, symant*, norton*, agnitu*, drweb*, 360*, Quick h
Если полезная нагрузка получена, первые 42 байта изображения GIF отбрасываются, а оставшиеся данные расшифровываются и сохраняются в файл с помощью одной из следующих функций.
- Создать файл , ЗаписатьФайл
- CreateUrlCacheEntryA(*” google.com ”,,,,) , СоздатьФайлА , CreateFileMappingA , КартаViewOfFile ,{цикл перемещения байтов}, ФлешViewOfFile , UnmapViewOfFile
КУМ Win32/Криптик.
DLIF Проанализировав загрузчики и файлы обнаружения семейств Kryptik, мы обнаружили, что они либо содержали, либо удаленно загружали вредоносное ПО Ursnif и Ramnit. Ursnif содержит множество модулей для кражи учетных данных электронной почты, включает в себя бэкдор, кейлоггер, инструмент для создания скриншотов и видео, компонент для внедрения кода в веб-браузеры Internet Explerer, Firefox, Chrome и модификации http-трафика.
Он также может украсть любой файл из зараженной системы.
Согласно информации из конфигурационных файлов, обнаруженных в образцах этого вредоносного ПО, оно ориентировано на корпоративный сектор и, особенно, на платежные сервисы и учреждения.
Ramnit — файловый вирус, нацеленный на банковский сектор.
Этот вирус также содержит множество вредоносных функций, включая кражу данных, захват снимков экрана и выполнение файлов.
Заключение Эксплойт-кит Stegano используется злоумышленниками с 2014 года.
Его авторы приложили немало усилий для реализации нескольких методов для достижения соответствующего уровня секретности.
В одной из недавних кампаний мы обнаружили то, что отслеживали с начала октября 2016 года: злоумышленники распространяли ссылки на набор эксплойтов, используя рекламные баннеры и стеганографию.
При этом авторы позаботились о том, чтобы скрыть вредоносную активность от глаз аналитиков, которые могут использовать специальную среду мониторинга.
В случае успешной эксплуатации системы жертвы, уязвимые для использованных эксплойтов, остаются открытыми для взлома другими вредоносными программами, включая бэкдоры, шпионские программы и банковские трояны.
Вредных действий эксплойт-кита Stegano или другого эксплойт-комплекта можно избежать, регулярно обновляя установленное программное обеспечение и операционную систему, а также используя надежный антивирусный продукт. Набор эксплойтов Stegano пытается обнаружить наличие в системе следующих продуктов.
Наличие в системе следующих драйверов и библиотек пытается обнаружить набор эксплойтов Stegano. 
Вредоносная программа не имеет доступа к следующим строкам своего тела.
Индикаторы компрометации (IoC)
Хэши имеют формат SHA1.
countly.min.js
24FA6490D207E06F22A67BC261C68F61B082ACF8
Код с баннера
A57971193B2FFFF1137E083BFACFD694905F1A94
Banner.png из Стегано
55309EAE2B826A1409357306125631FDF2513AC5
67799F80CEF4A82A07EFB3698627D7AE7E6101AB
09425B3B8BF71BA12B1B740A001240CD43378A6C
4528736618BBB44A42388522481C1820D8494E37
FE841DF1ACD15E32B4FFC046205CAAFD21ED2AB2
7BE0A9387F8528EC185ACC6B9573233D167DF71B
A5BC07E8E223A0DF3E7B45EEFD69040486E47F27
EC326BA5CD406F656C3B26D4A5319DAA26D4D5FE
3F1A5F624E0E974CAA4F290116CE7908D360E981
33F921C61D02E0758DCB0019C5F37A4D047C9EC7
2FF89048D39BE75F327031F6D308CE1B5A512F73
9A0D9EBC236DF87788E4A3E16400EB8513743233
F36C283B89C9F1B21A4AD3E384F54B0C8E7D417A
17787879D550F11580C74DA1EA36561A270E16F7
9090DB6731A8D49E8B2506087A261D857946A0EB
45B3EE46ADA9C842E65DCF235111AB81EF733F34
F56A878CA094D461BDF0E5E0CECED5B9903DB6E0
6C74A357B932CF27D5634FD88AA593AEF3A77672
0C3C22B8AA461C7DE4D68567EEA4AE3CD8E4D845
5A5A015C378159E6DC3D7978DAD8D04711D997F8
B2473B3658C13831C62A85D1634B035BC7EBD515
9638E1897B748D120149B94D596CEC6A5D547067
0195C8C7B687DD4CBF2578AD3CB13CD2807F25CB
FEC222095ABD62FC7635E2C7FA226903C849C25C
0FCB2B3ED16672A94CD003B4B53181B568E35912
03483E4039839F0807D7BEC08090179E62DBCC60
Целевая страница комплекта эксплойтов Stegano
67E26597CF1FF35E4B8300BF181C84015F9D1134
CD46CEE45F2FC982FBA7C4D246D3A1D58D13ED4A
191FFA6EB2C33A56E750BFFEFFE169B0D9E4BBE4
4B2F4C20CC9294F103319938F37C99C0DE7B4932
3FCEA1AFDA9888400D8DE5A232E4BF1E50D3380F
CA750F492691F4D31A31D8A638CE4A56AF8690D0
1374EE22D99ECFC6D68ADE3ACE833D4000E4705B
6BF1A2B7E8CA44E63E1A801E25189DC0212D71B9
B84AB2D5EAD12C257982386BC39F18532BF6939E
476A0455044B9111BDA42CDB7F4EA4E76AA7AB2D
0C1CA7D9C7E4B26A433946A6495782630EF6FD18
29B6DD92FBDF6070B171C38B1D3CA374F66E4B66
89DA7E7A88F9B6CBBFAF7F229BFEA8767220C831
CEE32C8E45A59D3084D832A9E6500AE44F75F7B5
A152AB43BEDCD8F6B7BFB67249C5599CF663D050
3AC722AC0D4764545A3E8A6DF02059C8A164CA17
25E0474E4F8D7D3053278B45A9C24380275B4705
35FB5F3C2957B4525A0330427397915AEEFDDD91
19EEE9745E25194DD573423C6DB0F5AF5D8CFE1D
E88B2B7A08322738C74B29C4CA538741F85A0B7F
A388A2A241339489685CB4AD22EBA9E04B72CD67
Флэш-файлы
BADAE04BFF7AFD890C3275E0434F174C6706C2C6
6EF95ACB8AA14D3BA8F1B3C147B7FB0A9DA579A2
10840AEB8342A26DFC68E0E706B36AC2B5A0D5B2
093B25B04FE21185BFEEAFD48F712942D3A3F0C6
C680734AF8670895F961C951A3629B5BC64EFE8E
EEEDBBB65A441979974592343C6CA71C90CC2550F
DE288CADE8EE3F13D44719796A5896D88D379A1E
9488CDBB242BE50DF3D20B12F589AF2E39080882
B664365FC8C0B93F6A992C44D11F44DD091426DD
7557B5D987F0236FF838CD3AF05663EFA98EBC56
24B7933A8A8F6ED50FBAF2A5021EF47CE614A46F
11BA8B354001900ED79C43EA858F1BC732961097
Примеры URL-адресов
TinyURL.com
/jf67ejb
/jqp7efh
/j56ks2b
/gplnhvm
/gwwltaf
/hgnsysa
/hvfnohs
Целевая страница комплекта эксплойтов Stegano hxxp://conce.republicoftaste.com/urq5kb7mnimqz/3dyv72cqtwjbgf5e89hyqryq5zu60_os24kfs1j3u_i hxxp://compe.quincephotographyvideo.com/kil5mrm1z0t-ytwgvx/g7fjx4_caz9 hxxp://ntion.atheist-tees.com/v2mit3j_fz0cx172oab_eys6940_rgloynan40mfqju6183a9a4kn/f hxxp://entat.usedmachinetools.co/6yg1vl0q15zr6hn780pu43fwm5297itxgd19rh54-3juc2xz1t-oes5bh hxxp://connt.modusinrebus.net/34v-87d0u3 hxxp://ainab.photographyquincemiami.com/w2juxekry8h9votrvb3-k72wiogn2yq2f3it5d17/j9r hxxp://rated.republicoftaste.com/6t8os/lv-pne1_dshrmqgx-8zl8wd2v5h5m26m_w_zqwzq hxxp://rence.backstageteeshirts.com/qen5sy/6hjyrw79zr2zokq1t4dpl276ta8h8-/3sf9jlfcu0v7daixie_do6zb843/z7
Теги: #Антивирусная защита #вредоносное ПО
-
Что Такое Serial-Ata?
19 Oct, 24 -
Некоторые Полезные Онлайн-Игры
19 Oct, 24 -
Форум Решений Dell 2015: Регистрация Открыта
19 Oct, 24 -
Приложение Для Хабрахабра, V1.0
19 Oct, 24
