Angriff über Werbebanner: Stegano-Malware versteckt sich in Bildern

Wahrscheinlich schon seit 2014 attackiert das »Stegano Exploit Kit« die Besucher von Nachrichten-Websites. Das Besondere: Die Malware versteckt sich im Alphakanal von Bildern und unternimmt mehrere Prüfungen, ob der Rechner überwacht wird.

(Foto: santiago silver - Fotolia)

Via Steganografie lassen sich Informationen in Bildern verstecken – ein Vorgehen, das mit dem »Stegano Exploit Kit« eine Malware offenbar schon seit mehreren Jahren erfolgreich praktiziert. Den Sicherheitsexperten von Eset zufolge bringt sie ein Skript im Alphakanal von Bildern unter, die in Werbebannern genutzt werden. Im Alphakanal sind Transparenz-Informationen gespeichert, die Modifikationen sind für den Nutzer quasi nicht zu erkennen. Der Entdeckung durch Security-Tools entzieht sich der Schädling, indem er über eine Lücke im Internet Explorer prüft, ob das System überwacht wird. Ist das nicht der Fall, wird der versteckte Code ausgeführt und von einer anderen Seite eine manipulierte Flash-Datei heruntergeladen, die drei Sicherheitslecks in Flash ausnutzt und, während weiterer Prüfungen auf installierte Sicherheitslösungen, den eigentlichen Payload lädt. Der ist als GIF-Datei getarnt und enthält Eset zufolge zumeist Backdoors, Banking-Trojaner, Spyware und andere Malware.

Laut Eset existieren frühe Varianten von Stegano Exploit Kit bereits seit 2014 und attackierten vor allem niederländische Internet-Nutzer. Später richteten sich die Angriffe dann auf tschechische User, bevor der Fokus nun auf Australien, Kanada und mehrere europäische Länder gelegt wurde. Dort werden den Sicherheitsexperten zufolge die manipulierten Anzeigen, die für das Sicherheitstool »Browser Defence« und das Screenshot-Tool »Broxu« werben, vor allem auf Nachrichtenwebsites eingeblendet. Auf welchen Seiten genau beziehungsweise über welche Werbenetzwerke diese ihre Ads beziehen, verrät Eset allerdings nicht. Erkennt die Malware bei ihrer Prüfung, dass sie nicht auf einem echten System läuft oder Sicherheitsanwendungen aktiv sind, verzichtet sie auf einen Angriff und liefert eine saubere Version des Banners.