Stegano : un malware se cache dans les pixels d'images publicitaires

Le par  |  11 commentaire(s)
malware

Du code nuisible se cache dans les pixels de transparence de publicités malveillantes qui ont pu être diffusées sur des sites d'actualité.

La stéganographie consiste à dissimuler un message dans un autre message. Les chercheurs en sécurité de ESET ont découvert un malware publicitaire qu'ils ont baptisé Stegano en référence à cette technique de dissimulation.

Selon ESET, depuis au moins début octobre, une campagne de malvertising pour la propagation de Stegano a touché un certain nombre de sites d'actualité dits réputés. Des noms ne sont pas cités mais il est fait mention de millions de visiteurs par jour pour chacun d'entre eux.

Les utilisateurs pris pour cible sont ceux avec Internet Explorer et disposant d'une version vulnérable de Flash Player pour exploiter des failles. À noter que toutes disposent des patchs idoines pour une correction.

Avec des bannières publicitaires pour des applications dénommées Browser Defence et Broxu, du code JavaScript malveillant et pour initier une attaque est dissimulé dans les paramètres de contrôle de la transparence des pixels de l'image affichée. La couche alpha d'une image. Avec seulement un léger changement du ton de la couleur de l'image, tout passe inaperçu.

Stegano-pub-malveillante

Légère modification du ton de la couleur

Une nouvelle fenêtre de navigation est secrètement ouverte vers un site Web malveillant conçu pour exploiter des vulnérabilités dans Flash Player et mener une attaque. La victime ne clique sur rien. Parmi les charges utiles repérées, des chevaux de Troie bancaires ou de type backdoor. ESET n'écarte pas l'éventualité d'un ransomware.

Une vulnérabilité dans Internet Explorer est exploitée pour s'assurer que l'ordinateur pris pour cible n'est pas dans un environnement surveillé, comme une machine de chercheurs en sécurité pour analyser des nuisibles. Si ce n'est pas le cas, il y a une redirection via le service TinyURL pour le chargement d'une page qui pourra exploiter trois vulnérabilités distinctes dans Flash Player.

La précaution de base suffit à se prémunir d'une attaque. Un système et des applications à jour, le recours à une solution de sécurité.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1937769
"Les utilisateurs pris pour cible sont ceux avec Internet Explorer et disposant d'une version vulnérable de Flash Player" soit un pourcentage de combien?? 0.01%

En tout cas une bonne raison si'il en est d'utiliser des bloqueurs de pub
Le #1937770
On s'en sortira jamais avec les malwares, les pirates ont tellement d'imagination
Le #1937771
Perso j'ai fini par complètement virer Adobe flash player de mon Windows 10, trop dangereux.

Si j'ai vraiment besoin d'avoir flash, j'utilise une machine virtuelle.
Le #1937777
Toujours Flash...
Le #1937778
Les animations Flash étant en partie codé en actions scripts, ont peux donc dire que le javascripts est tout aussi dangereux.
En gros, le meilleur moyen de ne pas être infecté, et de ne plus naviguer...
Le #1937779
stradfred a écrit :

Les animations Flash étant en partie codé en actions scripts, ont peux donc dire que le javascripts est tout aussi dangereux.
En gros, le meilleur moyen de ne pas être infecté, et de ne plus naviguer...


Chose que tu ne fais pas ...
Le #1937786
Il y a aussi les publicités insérées dans une application de programme TV lors de la mise à jour de celle-ci. Sans intervention du propriétaire du smartphone, l'application envoyait un achat multimédia (heureusement bloqué par l'opérateur).

Ceux qui ne paramètrent pas leur compte client l'ont dans l'os !

Réaction rapide de l'entreprise qui est responsable de l'application : bannissement des publicitaires véreux.
Le #1937836
Flash encore et toujours
Le #1937857
Perso, je n'ai pas installé flash depuis que j'ai réinstallé mon Windows.
Anonyme
Le #1938079
Déjà la pub en général on l'apprécie guère, mais si elle devient malveillante car infectée, là, c'est plus la peine
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]