Специалисты по кибербезопасности из компании Devcon рассказали о новой вредоносной кампанию, в ходе которой для сокрытия зловредов хакеры используют логически развивающую стеганографию довольно необычную технику – Polyglot-изображения.
На первый взгляд, Polyglot легко спутать со стеганографией, но у них есть одно существенное различие, на котором необходимо остановиться подробней. Стеганография предполагает сокрытие вредоносного кода в графическом изображении путем манипуляций с пикселями, которые не может уловить человеческий глаз. Также для атаки атаки нужен активатор, дополнительный, отдельный от изображения JavaScript-код, который считывает модифицированные пиксели и собирает из них вредонос.
В случае же с Polyglot вредоносный файл может быть изображением и JavaScript-кодом одновременно , и для извлечения вредоноса никаких дополнительных скриптов не требуется. Очевидно, что такая атака имеет гораздо большие перспективы, чем стеганография. Для того, чтобы создать такой файл с двойным дном, способный быть одновременно и графическим изображением, и скриптом, злоумышленники используют хитрую уловку, основывающуюся на том, как компьютер интерпретирует эти два совершенно разных типа файлов.
Атака Polyglot основывается на том, что браузер запускает только код внутри изображения и игнорирует весь остальной контент. Однако после загрузки в браузере изображение превращается в зашифрованное сообщение, смысл которого становится понятен, если прогнать его через дешифратор, поставляемый вместе с изображением.
В настоящее время атака носит достаточно безобидный характер и распространяется через сеть доставки контента Cloudfront от Amazon Web Services, пользователей же она перенаправляет на страницу с лотереей наподобие «Колеса фортуны».
Ранее в январе АКБ сообщало о масштабной вредоносной кампании, охватившей на тот момент около 1 млн владельцев компьютеров Mac. Чтобы уберечь опасный код от обнаружения, злоумышленники внедряют его в рекламные изображения, используя стеганографию, метод, изобретенный аббатом Тритемием еще в 1499 году и обретший второе дыхание в цифровую эпоху. В отличие от криптографии, которая скрывает содержимое тайного сообщения, стеганография скрывает сам факт его существования.
В прошлом году исследователи уже фиксировали несколько кампаний, полагающихся на стеганографию, в том числе случаи загрузки зараженных картинок на Google+ и сокрытия команд в мемах, публикуемых в Twitter.
В текущей кампании, стартовавшей 11 января, если кликнуть по рекламной картинке, на компьютер под видом обновления для Adobe Flash Player загрузится троян Shlayer, который запустит установку рекламного ПО.
Убытки рекламодателей от мошенничества только за один день, 11 января, составили более $1,2 млн.
