Stegano: Neuer Virus infiziert PCs über manipulierte Bild-Dateien!

Mit einem neuen Trick versuchen Angreifer, den PC unbemerkt zu infizieren: Der Schad-Code wird dabei unsichtbar in dem Alpha-Kanal eines Bildes versteckt, dass über Webseiten verbreitet werden kann. Der Javascript-Schadecode versucht anschließt, bekannte Sicherheitslücken auszunutzen: So gab es laut den Entdeckern bei der Sicherheitsfirma Eset ein Version, die eine Sicherheitslücke im Internet Explorer nutzte, weitere Varianten zielten auf Lücken im Adobe Flash Player.

Das Bild sieht auf den ersten Blick unverdächtig aus, der im Alphakanal versteckte Schad-Code ist nicht sichtbar: Der Alpha-Kanal speichert normalerweise Transparenz-Informationen, um PNG Bilder mit weichen Übergängen zu ermöglichen. Ein manuelles Bild hat einige Stör-Elemente, die aber eher an ein stark komprimiertes JPEG Bild erinnern.

Laut der Sicherheitsfirma Eset sollen seit Oktober des Jahres vor allem die Besucher großer News-Seiten Ziel des Angriffs gewesen sein: Auf den Seiten wurde Werbung für die Programme „Browser Defence“ und „Broxu“ geschaltet, die im Hintergrund Informationen zum System weitergaben. Anhand dieser Daten wurde dann entweder ein normales Bild ausgeliefert oder aber eine Variante mit dem nahezu unsichtbar integrierten Schadcode, so Eset. Dieser hat dann über sie Sicherheitslücken im Browser oder im Flash Player versucht, den eigentlichen Virus zu laden, um den PC damit zu infizieren.

Das Ganze lief komplett unbemerkt im Hintergrund ab, ohne das der Nutzer auf das Bild klicken oder mit der Webseite interagieren musste: Entsprach sein System den Anforderungen, wurde der Stegano Schadcode ausgeliefert und versucht, eine Sicherheitslücke auszunutzen, um den eigentlichen Virus zu laden und zu installieren. Laut Eset soll dies entweder die Malware „Ursnif“ oder „Ramnit“ sein: Beide sollen die gedrückten Tasten mit-protokollieren und auch automatisch Screenshots anfertigen können, um an Zugangsdaten zu gelangen.

Bisher scheint es noch keinen Schutz gegen manipulierte Bild-Daten zu geben, die Nutzer sollten daher vor allem darauf achten, dass die verwendeten Programme wie zum Beispiel Betriebssystem und Browser, aber auch die installierten Plugins, aktuell sind und aktuelle Sicherheits-Updates zeitnah eingespielt werden. Da der Stegano-Angriff weder sichtbar ist, noch einen Klick des Nutzers erfordert, ist es andernfalls schwer, sich vor dem Angriff zu schützen.

Wie der Verlauf der versuchten oder geglückten Infektion des PCs im Detail aussieht, zeigt Eset anhand einer Grafik in ihrem Blog.