Инъекция фрейма через метаданные PNG

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 7 фев 2014.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.602
    Исследователи обнаружили относительно новый способ распространения зловредов. Можно внедрить код Javasсript в обфусцированные метаданные PNG, чтобы вызывать инъекцию вредоносного фрейма на веб-странице.

    Основная цель при использовании данной техники — избежать обнаружения зловреда антивирусным сканером, потому что код спрятан в метаданных.

    Простой скрипт jquery.js (на скриншоте) загружает файл dron.png, в котором вредоносный код спрятан в переменной strData.

    frame.png

    Фрейм загружается за пределами видимой области экрана (-1000px). Хотя сам пользователь его не видит, но он обрабатывается браузером, что позволяет осуществлять через него атаки типа drive-by или влиять на выдачу поисковой системы, скармливая контент в Google.

    frame2.png

    На скриншоте показан URL на домене, где размещается два трояна. По статистике Google Safe Browsing, эти трояны поразили более 1000 сайтов за последние 90 дней.

    Конечно, данную технику нельзя назвать принципиально новой, она обсуждалась на хакерских конференциях еще в 2009 году.


    источник
     
    Сергей, Phoenix, orderman и 2 другим нравится это.

Поделиться этой страницей