В PNG-изображениях найден новый троян, который не обнаруживается браузерами и антивирусами

Исследователи обнаружили относительно новый способ распространения вредоносного ПО, который полагается на считывание javascript кода, сохранённого в метаданных PNG файлов для запуска iFrame инъекций.

Данный конкретный iFrame, код которого вы можете видеть на картинке, обращается к простому javascript файлу, jquery.js, который загружает PNG файл dron.png Это обычный файл изображения, однако здесь в javascript  содержится переменная strData, которая и является сутью этой атаки.

iFrame позволяет метаданным этой картинки спокойно делать свою грязную работу, помещая её за пределы нормальной видимой зоны браузера – полностью за пределы экрана (-10000 пикселей). И хотя пользователи не могут видеть этот iFrame, его видит браузер — а заодно и Google, что может создать необходимые условия для атаки.

Адрес загрузки мелвера можно видеть на этой приведённой картинке в секции elm.src Это подозрительный российский сайт, который по данным Google, содержит два трояна, и уже заразил более 1000 доменов за последние 90 дней.

Такой подход не нов, и уже использовался хакерами прежде, но данный случай является самым продуманным примером использования этого вектора атаки.

«Большинство современных сканеров не смогут декодировать метаданные этой картинки, они остановятся на загруженном javascript, но не пойдут по цепочке cookie», говорит эксперт по компьютерной безопасности из компании Securi Питер Грамантик.

Стеганография, наука о сокрытии сообщений — например, в картинках и медиафайлах, прежде уже применялась в некоторых серьёзных атаках прошлых лет. Люди, стоящие за кампанией MiniDuke в 2013 году использовали её для сокрытия кастомизированного бэкдор-кода, а группировка Shady Rat использовала внедрение зашифрованных HTML-команд в изображения для сокрытия следов своей деятельности в 2011-м.