Stegano, il ”malvertising” che minaccia utenti del browser Internet Explorer
La società di sicurezza Eset ha fatto luce su una campagna di malvertising (banner pubblicitari contenenti codice dannoso) che si è abbattuta nel corso dei due mesi passati su milioni di utenti della rete. Battezzata con il nome di “Stegano”, la campagna risale in realtà al 2014 anche se i riscontri più significativi si hanno dall’inizio di ottobre, quando gli autori sono riusciti a far circolare i banner compromessi su una varietà di siti web di primo piano, ciascuno con milioni di visitatori quotidiani.
Il nome dato alla campagna è ispirato dalla parola steganografia, cioè la tecnica di nascondere messaggi segreti all’interno di un documento. In questa campagna, infatti, gli attaccanti sono riusciti a nascondere parti del codice dannoso nei parametri del canale alpha che controlla la trasparenza dei singoli pixel che compongono i banner pubblicitari. Il codice di attacco va ad alterare il colore di parti dell’immagine, ma le variazioni sono pressoché invisibili all’occhio umano.
Dopo aver verificato che il browser preso di mira non stia operando in un ambiente virtuale o sia protetto da altre tipologie di misure di sicurezza, lo script reindirizza il browser verso un sito che ospita tre exploit per vulnerabilità di Flash, già patchate con gli ultimi aggiornamenti. Le vulnerabilità Flash sfruttate sono CVE-2015-8641, CVE-2016-1019, e CVE-2016-4117.
“Abbiamo osservato la presenza di siti web importanti, inclusi siti di notizie che sono visitati ogni giorno da milioni di persone e che fungono da referrer ospitando le inserzioni compromesse. Una volta che lo spazio di un’inserzione è stato agganciato, il browser mostrerà un banner ordinario all’utente, anche se c’è molto di più di una semplice pubblicità” osservano i ricercatori, che non hanno voluto rivelare i nomi dei siti web a loro insaputa complici.
Le inserzioni promuovono applicazioni “Browser Defence” e “Broxu” e hanno preso di mira il browser Internet Explorer. Lo script nascosto nei pixel sfrutta una vulnerabilità di IE – ora patchata – conosciuta con il codice di CVE-2016-0162 per ottenere informazioni sul sistema dell’utente. Tra i vari dettagli, lo script controlla la presenza di strumenti di packet capture, sandboxing e software di virtualizzazione, oltre a numerosi altri prodotti di sicurezza.
Le macchine che appaiono prive di sistemi di protezione e presentano una versione vulnerabile di Flash sono quindi reindirizzate al sito che contiene gli exploit, che può erogare due tipologie di malware: la famiglia Ursnif, costituita principalmente da moduli per la sottrazione di credenziali email, logging di tastiera, screen-capture e operare come backdoor, e la famiglia Ramnit, che grossomodo può svolgere le precedenti funzioni ma è principalmente indirizzata al settore bancario. Gli autori della campagna hanno inoltre adottato una serie di misure aggiuntive per assicurarsi che i sistemi presi a potenziale bersaglio non appartengano ad utenti sensibili all’aspetto della sicurezza e che possano individuare cosa stia accadendo. Oltre al controllo che lo script esegue sulla macchina, viene eseguito un ulteriore controllo dal server exploit prima di proseguire con l’attacco.
Per eseguire il codice nascosto, il banner dannoso va a caricare una versione pesantemente modificata di Countly, un pacchetto opensource per misurare il traffico dei siti web. Il JavaScript analizza la struttura RGBA dell’immagine ed estrae il codice occultato nei pixel e lo esegue e dal momento che nel JavaScript in sé non vi è nulla di dannoso, i circuiti pubblicitari non riescono ad identificare quel che accade.
Eset ha riscontrato che gli utenti che sono stati esposti alla campagna sono concentrati principalmente in Canada, Regno Unito, Australia, Spagna e Italia, ovvero i paesi serviti dai network pubblicitari compromessi. Le precedenti versioni della campagna, nel 2014 e nel 2015, hanno preso di mira utenti dei Paesi Bassi e della Repubblica Ceca.
Nonostante la campagna abbia preso di mira solamente utenti Internet Explorer con versioni non aggiornate di Flash, è interessante comprendere la tecnica con cui Stegano va a nascondere codice dannoso nei pixel di un banner. Non v’è ragione di escludere che future campagne di malvertising (o campagne in corso non ancora scoperte) possano sfruttare vulnerabilità zero-day capaci di colpire molte più persone. E’ auspicabile che i network pubblicitari adottino misure avanzate per scoprire questo genere di campagne, fino a quando ciò non avverrà la minaccia non avrà termine. (fonte)
