La stéganographie consiste à dissimuler un message dans un autre message. Les chercheurs en sécurité de ESET ont découvert un malware publicitaire qu'ils ont baptisé Stegano en référence à cette technique de dissimulation.
Selon ESET, depuis au moins début octobre, une campagne de malvertising pour la propagation de Stegano a touché un certain nombre de sites d'actualité dits réputés. Des noms ne sont pas cités mais il est fait mention de millions de visiteurs par jour pour chacun d'entre eux.
Les utilisateurs pris pour cible sont ceux avec Internet Explorer et disposant d'une version vulnérable de Flash Player pour exploiter des failles. À noter que toutes disposent des patchs idoines pour une correction.
Avec des bannières publicitaires pour des applications dénommées Browser Defence et Broxu, du code JavaScript malveillant et pour initier une attaque est dissimulé dans les paramètres de contrôle de la transparence des pixels de l'image affichée. La couche alpha d'une image. Avec seulement un léger changement du ton de la couleur de l'image, tout passe inaperçu.
Légère modification du ton de la couleur
Une nouvelle fenêtre de navigation est secrètement ouverte vers un site Web malveillant conçu pour exploiter des vulnérabilités dans Flash Player et mener une attaque. La victime ne clique sur rien. Parmi les charges utiles repérées, des chevaux de Troie bancaires ou de type backdoor. ESET n'écarte pas l'éventualité d'un ransomware.
Une vulnérabilité dans Internet Explorer est exploitée pour s'assurer que l'ordinateur pris pour cible n'est pas dans un environnement surveillé, comme une machine de chercheurs en sécurité pour analyser des nuisibles. Si ce n'est pas le cas, il y a une redirection via le service TinyURL pour le chargement d'une page qui pourra exploiter trois vulnérabilités distinctes dans Flash Player.
La précaution de base suffit à se prémunir d'une attaque. Un système et des applications à jour, le recours à une solution de sécurité.
