Discussion :

[Malick]

ESET découvre un nouveau kit d'exploit baptisé Stegano
qui permet de cacher du code malveillant dans les images des bannières de publicité

ESET, la firme spécialisée dans la fourniture de solutions de sécurité, vient d’annoncer la découverte d’un nouveau kit d’exploit baptisé Stegano.

Selon les chercheurs en sécurité d’ESET, Stegano s’appuie sur la technique de la stéganographie pour arriver à ses fins. Par définition, la stéganographie est l'art de la dissimulation. Elle consiste à faire passer un message dans un autre message, et cela de façon inaperçue. Concrètement, le mode opératoire de Stegano consiste à dissimuler du code malveillant dans les pixels des bannières de publicité se trouvant sur les sites web.

Stegano fait une modification de la transparence des pixels des images en format PNG afin d’y cacher du code JavaScript. L’image ainsi modifiée est ensuite packagée avant d’être transmise aux régies qui se chargeront de la diffuser sur les sites internet. Lorsqu’un internaute clique sur une bannière où le code est caché, en l’absence de logiciel de sécurité adéquat, il sera automatiquement redirigé vers la page de destination de Stegano via le service web de réduction d'URL TinyURL. Une fois la page ouverte, les attaquants vont exploiter trois types de vulnérabilités décelées dans le Flash d’Adobe notamment CVE-2015-8651, CVE-2016-1019 et CVE-2016-4117.

ESET souligne que le code malveillant exploite également une vulnérabilité présente sur Internet Explorer. Les experts en sécurité rapportent que cette faille permet d’obtenir des informations sur la présence de solutions de sécurité, cependant elle a été corrigée.

Aujourd’hui, avec la forte expansion de l’internet, plusieurs millions d’utilisateurs dans le monde se retrouvent vulnérables à ce type d’attaque. Cette hypothèse est confirmée par les spécialistes en sécurité d’ESET qui affirment qu’un très grand nombre de sites internet sont actuellement victimes de cette attaque.

ESET précise également que les résultats de ses tests montrent que durant les deux derniers mois, le nouveau kit d'exploit Stegano a été trouvé dans plus d’un million de sites. Le fournisseur d’antivirus rapporte que Stegano se cache principalement derrière les images publicitaires se trouvant sur les pages d’accueil des sites.

Robert Lipovsky, spécialiste en sécurité chez ESET, affirme que parmi les codes malveillants décelés, il y a des chevaux de Troie, des logiciels espions, etc. Il n’écarte pas non plus la présence de rançomwares.

Lipovsky recommande ainsi aux internautes d’installer des solutions de sécurité dont l’efficacité est reconnue afin de se prémunir de ce type d’attaque. Il insiste également sur le fait que les utilisateurs doivent mettre à jour leur système d’exploitation ainsi que les applications installées.

Source : welivesecurity

Et vous ?

Que pensez-vous de ce nouveau kit d'exploit ?

[leroivi]

Juste après l'article qui nous dit que les publicitaires sont en train de pleurer parce qu'on bloque les pubs, quel timing xD

Sinon, on est à l'abri en desactivant Adobe Flash (qui devient de plus en plus inutile avec l'arrivée de HTML5) ou on peut tout de même nous atteindre par d'autre moyen (javascript, cookie, trackers ...) ?

[Aiekick]

Quid de la responsabilité des annonceurs comme vecteurs infectieux ? il payent des contre parties en cas de ramsonware ?

[seikida]

Concrètement, le mode opératoire de Stegano consiste à dissimuler du code malveillant dans les pixels des bannières de publicité se trouvant sur les sites web.

Stegano fait une modification de la transparence des pixels des images en format PNG afin d’y cacher du code JavaScript. L’image ainsi modifiée est ensuite packagée avant d’être transmise aux régies qui se chargeront de la diffuser sur les sites internet.

Desole si ma question semble stupide (je ne m'y connais pas vraiment dans le domaine).
Pour parrer le probleme ne suffit il pas juste de regenerer l'image ?

Par exemple, on permet aux internautes d'uploader leur photos.
Une fois l'upload effectue, on regenere l'image et on utilise cette image (et non l'image originel).

[Tagashy]

Seykikas regenerer l'image ... ca ne veut rien dire en fait ce qu'ils font c'est cacher le code dans les pixels un pixel = 4 octet 1 pour le rouge 1 pour le vert 1 pour le bleue et 1 pour la transparence.
Ce qu'il font c'est utilser les 3 octet RGB pour leur code et il mette la transparence au max du coup sans alterer l'image tu ne peux pas enlever le code par contre il doit etre possible de le detecter en faisans un test if transparence = max et RGB > 0 . Car comme c'est transparent ca ne devrais pas avoir de couleurs.
J'espere que ca t'as aider