Un file di immagine con stegano può essere malware se salvato da qualche parte?

3

Stavo leggendo un articolo sul malware attivo nei banner pubblicitari, limitato ai sistemi con IE-browser con alcune impostazioni.

Milioni esposti a malvertising che ha nascosto il codice di attacco nei pixel del banner

Researchers from antivirus provider Eset said "Stegano," as they've dubbed the campaign, dates back to 2014. Beginning in early October, its unusually stealthy operators scored a major coup by getting the ads displayed on a variety of unnamed reputable news sites, each with millions of daily visitors. Borrowing from the word steganography—the practice of concealing secret messages inside a larger document that dates back to at least 440 BC—Stegano hides parts of its malicious code in parameters controlling the transparency of pixels used to display banner ads. While the attack code alters the tone or color of the images, the changes are almost invisible to the untrained eye.

To execute the hidden payload, the malicious ads load a heavily modified version of Countly, an open-source package for measuring website traffic. That JavaScript extracts the hidden code out of the image and executes it. Because there's nothing per se malicious in the JavaScript, ad networks fail to detect what's happening.

Potrebbe essere possibile che un file javascript (o altro) -stegano salvato su un hd, possa essere attivo quando una connessione internet è online?

    
posta Tech-IO 10.12.2016 - 18:15
fonte

2 risposte

1

I file non sono intrinsecamente pericolosi; i file di attacco come questo sono entrambi programmi che devono essere eseguiti o fanno uso di problemi in un altro programma quando vengono caricati in quello come dati.

Dal tuo articolo:

To execute the hidden payload, the malicious ads load a heavily modified version of Countly, an open-source package for measuring website traffic. That JavaScript extracts the hidden code out of the image and executes it.

Cioè, l'immagine contiene un piccolo programma JavaScript, che viene estratto ed eseguito da un codice che la rete pubblicitaria colloca su una pagina web e la visualizzazione di tale pagina web lo fa eseguire dal browser.

Se l'immagine fosse semplicemente sul tuo disco fisso, non succede nulla. Se lo apri in un editor di immagini, non succede nulla. Devi eseguirlo .

Ora molti malware sfruttano le vulnerabilità dei software di visualizzazione delle immagini, dei lettori audio, ecc., quindi non è generalmente sicuro aprire file sospetti; Non intendo dire che i browser web sono l'unico modo per eseguire un exploit. Allo stesso modo, il malware cercherà spesso di aggiungersi all'elenco "Esegui all'avvio" di una macchina, in modo che il sistema operativo lo esegua automaticamente. Ma in questo caso specifico, sembra che l'exploit sia eseguito attraverso un browser.

Comunque, quando viene eseguito, un exploit può fare (più o meno) tutto ciò che vuole, quindi sì, potrebbe verificare la presenza di una connessione di rete valida. Si dice che questo esegue una serie di controlli per provare a determinare se viene eseguito in un ambiente di controllo della vulnerabilità e quelli sono probabilmente molto più sofisticati del semplice controllo se è possibile accedere a un server esterno. Ma ancora, questo può accadere solo se è in esecuzione .

    
risposta data 10.12.2016 - 18:38
fonte
0

È possibile avere file "poliglotta" che sono sia un file immagine valido, ma contiene anche un codice dannoso incorporato in . Potrebbero inoltre esserci dei difetti in un'applicazione specifica attivata leggendo un file con determinati attributi incorporati nei metadati o nella parte "dati" del file stesso.

In definitiva, il file dovrebbe essere eseguito o visualizzato in qualche modo. Un file immagine semplicemente seduto su un filesystem non può essere eseguito da solo, ma è possibile che il codice exploit possa essere eseguito quando il file viene scansionato da antivirus, applicazione di indicizzazione della ricerca o qualche altro processo che tenta di visualizzare o eseguire il file.

Non è che il browser stia scaricando il file, è che il file di immagine dannosa viene eseguito dal browser.

    
risposta data 12.12.2016 - 15:02
fonte

Leggi altre domande sui tag