Исследователи обнаружили сравнительно новый путь распространения зловредов, который основывается на коде JavaScript в метаданных обфусцированного PNG-файла, предназначенном для выполнения iFrame-внедрения. Такой код имеет малую вероятность обнаружения антивирусным сканером из-за того, что метод внедрения глубоко встроен в метаданные изображения.

Питер Грамантик, исследователь вредоносного ПО из Securi, описал свои открытия в блог-посте в понедельник. Этот конкретный iFrame (плавающее окно) вызывается из простого JavaScript-файла jquery.js (см. ниже), который загружается через PNG-файл dron.png. Грамантик отметил, что в самом файле нет ничего странного — это просто обычная картинка, а вот что застало его врасплох, так это петля декодирования в JavaScript. В этом коде обнаруженная переменная strData была основой атаки.

iFrame вызывается из метаданных изображения, которые делают свою грязную работу, размещая его вне области видимости браузера, точнее, вообще вне экрана, со сдвигом на 1000 пикселей, согласно Грамантику. В то время как пользователи не могут видеть iFrame, «сам браузер и Google его видят», что потенциально можно использовать для атаки фоновой загрузкой или «отравлением» поискового движка.

Полезную нагрузку можно увидеть в строке elm.src метаданных (см. выше). Это подозрительно выглядящий русский веб-сайт, который, согласно Google Safe Browsing advisory, содержит два троянца и заразил больше тысячи доменов за последние 90 дней.

Такая стратегия не является абсолютно новой, Марио Хейдерих, исследователь и тестировщик в немецкой компании Cure 53, писал в 2009 году, что графические библиотеки в JavaScript можно использовать для сокрытия вредоносного кода.

Точно так же Сомил Шах, CEO Net-Squre, в прошлом году описал, как можно встраивать эксплойты в черно-белые изображения, вставляя код в пиксельные данные.

Безотносительно того, насколько эта концепция стара или нова, Грамантик подчеркивает, что она может быть еще более усовершенствована и распространена на другие файлы изображений. Поэтому исследователь рекомендует IT-администраторам в дальнейшем начать разбираться, какие  файлы могут, а какие не могут быть добавлены и модифицированы на их серверах.

«Большинство антивирусных сканеров на данный момент не декодируют метаданные изображений, они остановятся на загружаемом JavaScript, но не пойдут по следу из хлебных крошек», — предупреждает Грамантик в своем блоге.

Стеганография, наука сокрытия сообщений, зачастую путем запрятывания их в изображения и медиафайлы, в прошлом уже использовалась в нескольких мощных атаках. Злоумышленники, стоявшие за кампанией MiniDuke в 2013 году, использовали ее для сокрытия кода бэкдора, а в 2011 году в Shady Red были обнаружены шифрованные HTML-команды, спрятанные в изображениях.

Категории: Уязвимости