Den kolossale malvertising-kampagne, som blev lanceret i oktober (2016) af Stegano EK (Exploit kit), udsatte selv troværdige og mest besøgte websider som Yahoo og MSN for fare. Stegano exploit har været aktiv siden 2014. I begyndelsen af sin karriere pinte Stegano EK hollandske computerbrugere ved at sigte efter hollandske websteder. I 2015 skiftede programmet gear og begyndte at plage tjekkiske computerbrugere. I det seneste angreb bredte Stegano malware sig computerbrugere i Canada, Storbritannien, Australien, Spanien og Italien.
De websider, som blev injiceret med den skadelige kode, var de mest populære online nyhedsplatforme. Som it-sikkerhedsanalytikerne fra ESET bemærkede:
Vi kan sige, at Stegano endda har overgået nogle af de andre større exploit kits, såsom Angler og Neutrino, hvad angår henvisninger (referrals) – de websteder, på hvilke de har kunnet installere de ondsindede bannerreklamer. Vi har observeret store domæner, herunder nyhedswebsider, som besøges af millioner af folk hver dag, fungere som henvisere, idet de var vært for disse reklamer.
Det var især de skadelige reklamer, der blev implanteret på domænerne. Nærmere betegnet var det de tre sårbarheder i Adobe Flash (dvs. CVE-2015-8651, CVE-2016-1019 og CVE-2016-4117), der blev udnyttet til at omslutte den skadelige kode fra Stegano kit, som befandt sig i de enkelte pixels i bannerreklamernes PNG-filer, der reklamerede for Browser Defence og Broxu-produkter. JavaScript blev brugt til sidstnævnte formål.
Stegano exploit fungerede også som en malware-downloader ved at installere enden Ursnif eller Ramnit malware i det inficerede system. Ursnif malware er først og fremmest en virus, der stjæler data. Udover det kan den også sprede programmer såsom backdoors, spywares og fil-infectors. Ramnit malware også er en skadelig trussel, der stjæler info, men den holder sig mest til at stjæle brugernavne og adgangskoder til bankkonti. Desuden blev de berørte systemer gjort modtagelige for andre malwareinfektioner. Som ingeniørerne på ESET bemærkede, så kan Stegano EK muligvis mutere ved at installere katastrofale infektioner, såsom ransomware-virusser.
Interessant nok, så var det kun brugere af Internet Explorer, der blev ramt af Stegano-angrebet. Eftersom sårbarheden CVE-2016-0162 blev udnyttet, var it-svindlerne i stand til at registrere, om de ramte en bruger eller et omvendt (reverse) analysesystem lanceret af sikkerhedseksperterne. Endvidere kunne hackerne vurdere ud fra sårbarheden, om det ramte system var beskyttet af et sikkerhedssoftware eller ej. Derfor er ekstremt vigtigt at benytte opdateret software (eftersom det har fået lappet sine sårbarheder), og at der kører et pålideligt antivirusprogram i systemet.
Kilder: ibtimes.co.uk og bleepingcomputer.com.
Kilde: https://www.2-viruses.com/a-prodigious-malvertising-attack-compromised-even-the-top-trusted-sites