Um an Tests zum Aufspüren von Schad-Software vorbei zu kommen, lassen sich Kriminelle immer ausgefeiltere Tricks einfallen. Nun greift ein recht neues Exploit-Kit zur Steganografie. Die Antiviren-Firma Eset berichtet, dass der eigentliche Schadcode dabei in den Pixel-Informationen von Bildern in Online-Werbung versteckt wird.

Der von Stegano gelieferte Schadcode verbirgt sich im Alpha-Kanal der Anzeigen-Motive wie zum Beispiel für die angebliche Sicherheits-Software Browser Defence. Für jedes einzelne Pixel enthält der Alpha-Kanal Transparenz-Informationen. Angreifer können durch geringfügige Veränderungen dieser Werte ihren Schadcode quasi unsichtbar transportieren. Optisch unterscheidet sich das steganographisch angereicherte Bild nur minimal vom Original.

JavaScript-Code, die den Alpha-Kanal des Bildes ausliest und die darin versteckten Informationen in Buchstaben konvertiert, die dann zusammengesetzt wieder JavaScript-Code ergeben, enthält die scheinbar harmlose Anzeige. Anschließend führt Stegano diesen aus, um eine Sicherheitslücke des Systems etwa im Flash-Plug-in auszunutzen und das System letztlich zu infizieren. Der Code überprüft während des gesamten Vorgangs mehrfach, ob er gerade überwacht wird. Lediglich eine harmlose Anzeige wird in diesem Fall präsentiert beziehungsweise der Exploit wird abgebrochen.

Gegen solche Angriffe kann sich nur geschützt werden, indem immer die aktuellen Versionen von Betriebssystem, Browser und Erweiterungen eingesetzt werden. Um Systeme zu infizieren, nutzen Exploit-Kits fast immer bekannte Lücken und erreichen damit oft erstaunlich hohe Erfolgsquoten.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE