• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Инъекция фрейма через метаданные PNG

Mila

Основатель
Сообщения
4,949
Симпатии
10,471
#1
Исследователи обнаружили относительно новый способ распространения зловредов. Можно внедрить код Javasсript в обфусцированные метаданные PNG, чтобы вызывать инъекцию вредоносного фрейма на веб-странице.

Основная цель при использовании данной техники — избежать обнаружения зловреда антивирусным сканером, потому что код спрятан в метаданных.

Простой скрипт jquery.js (на скриншоте) загружает файл dron.png, в котором вредоносный код спрятан в переменной strData.

frame.png

Фрейм загружается за пределами видимой области экрана (-1000px). Хотя сам пользователь его не видит, но он обрабатывается браузером, что позволяет осуществлять через него атаки типа drive-by или влиять на выдачу поисковой системы, скармливая контент в Google.

frame2.png

На скриншоте показан URL на домене, где размещается два трояна. По статистике Google Safe Browsing, эти трояны поразили более 1000 сайтов за последние 90 дней.

Конечно, данную технику нельзя назвать принципиально новой, она обсуждалась на хакерских конференциях еще в 2009 году.


источник
 
Сверху Снизу