Tek Bir İmajla Hack: Stegano

Geçtiğimiz iki ay içerisinde herhangi bir popüler web sitesini ziyaret ettiyseniz hacklenmiş olabilirsiniz. Hem de güvenlik araştırmacıları tarafından keşfedilen yeni bir exploit kiti sayesinde!

Anti virüs sağlayıcısı ESET’in araştırmacıları salı günü yaptıkları açıklamada Stegano olarak adlandırılan ve şu anda birçok popüler web sitesinde bulunan, banner reklamlarının piksellerinde gizlenen kötü amaçlı kodlar keşfettiklerini belirtti.

Stegano aslında 2014 yılından beri var fakat Ekim ayının başından bu yana, siber suçlular Stegano’yu tekrar kullanmaya başladılar. Üstelik her gün milyonlarca ziyaretçisi bulunan haber sitelerinde.

Stegano kelimesi, mesajları veya içeriği dijital bir grafik görüntüsünde saklayan, çıplak gözle görmeyi imkansız hale getiren bir teknik olan Steganografi kelimesinden türemiştir.

Bu zararlı reklamlarda, kişi zararlı kodu transparan bir PNG imajının Alfa Kanalına saklıyor. PNG imajının Alfa Kanalı her pikselin şeffaflığını tanımlayan kanaldır.

Saldırıyı gerçekleştirmek isteyen kötü amaçlı birkaç kişi, üzerinde değişiklik yaptığı imajları bazı popüler haber sitelerine yerleştirmeyi başardı.

Stegano Saldırısı Nasıl Çalışıyor?

Kullanıcısı kötü amaçlı reklam barındıran bir siteyi ziyaret ettiğinde, reklamın içine yerleştirilen kötü niyetli komut dosyası, kullanıcının etkileşimi olmaksızın kurban bilgisayarın bilgilerini saldırganın uzak sunucusuna bildirir.

Kötü amaçlı kodun bir sonraki işi, Microsoft Internet Explorer (IE)’de bulunan CVE-2016-0162 açığını kullanmak. Bu açığı kullanarak hedef bilgisayarın bir malware analist makinesi olup olmadığını kontrol ediyor.

Hedeflenen tarayıcı doğrulandıktan sonra, kötü amaçlı komut dosyası tarayıcıyı şu anda yamalı olan üç Adobe Flash açığını bulunduran bir web sitesine yönlendiriyor. (CVE-2015-8651, CVE-2016-1019 ve CVE-2016-4117)

Yapılan en son doğrulama ise, çoğu siber suçluda olan paranoya için yapılıyor; gizlilik. Eğer gizlilik konusunda bir problem olduğunu fark ederse, kötü amaçlı komut dosyası kendisini bir imaj gibi göstermeye devam edecek ve başka bir aksiyon almayacaktır.

Eğer kötü amaçlı yazılım kurbanın bilgisayarına başarıyla indirilirse, Windows’taki regsvr32.exe veya rundll32.exe vasıtasıyla başlatılır.

image1

Kaynak: thehackernews.com