Z reguły w przypadkach ataków na strony internetowe, które objawiają się pojawianiem się dodatkowych treści mamy do czynienia z skryptem, który dodaje dodatkową treść albo podejrzewamy arp spoof, który podstawia nam w całości fałszywą witrynę. Technicy laboratorium AVG wykryli kolejną metodę ataku. Malware, które wykorzystuje zupełnie odmienny sposób na dodanie fałszywej treści do witryny.
Domyślny widok google.com i tuż po użyciu malware różni się od siebie.
Wygląda zupełnie jak ramka wstawiona w kod witryny google.com. Analizując źródło strony nie ma w kodzie nic niezwykłego więc to na pewno nie frame injection. Wiemy też na pewno, że Google nie zostały zhakowane i nie ma ARP spoofa w naszej testowej sieci.
Skąd więc owa ramka się wzięła? Po dogłębnej analizie wykryto, że wykorzystywany jest obiekt ‘InternetExplorer’. Czym jest zatem obiekt InternetExplorer? Jest to funkcja wstawienia instancji Internet Explorera w kod dowolnej aplikacji napisanej w Visual Basic.
Jak wspomniałem malware powstało w VB, tu macie przykład jak taki obiekt w VB wstawić:
Dim IE As SHDocVw.InternetExplorer
Set IE = CreateObject(„InternetExplorer.Application”)
Malware sprawdza wszystkie uruchomione procesy iexplore.exe i odczytuje wartość opcji ‘FullName’. Jeśli jest ‘IExplorer.exe’ malware próbuje wstawić się przed wywołanie funkcji ‘BeforeNavigate’, ’OnVisible’ lub podobnych więc jeśli IE wykona przejętą funkcję to uruchomiony zostanie kod malware.
Modyfikacja przejmowanej funkcji dotyczy sprawdzenia URL docelowego i wstawienia fałszywego. Po pierwsze sprawdzane jest czy URL jest adresem fałszywym czyli kod został już wykonany czy nowy proces ma jeszcze zamiast URL ustawiony ‘About:Blank’. Po drugie sprawdzany jest status funkcji ‘ReadyState’ żeby zweryfikować czy strona została już w całości załadowana. Po trzecie następuje przejęcie obiektu DOM (Document Object Model) i wstawienie kodu iframe . Z racji tego, że kod iframe jest wstawiany przez obiekt DOM, to nie widać kodu iframe w źródle witryny. W testowanym przypadku docelowy URL, do którego prowadził wstawiony jako DOM kod jest już zablokowany i niedostępny dlatego wstawiony na screenie wyżej iframe zwrócił ‘Page not found’.
Sprawdzenie URL:
Sprawdzenie stanu ReadyState:
Kod wstawianego obiektu DOM:
Póki co detekcja tego typu infekcji przez antywirusy jest niska. AVG wykrywa tego typu infekcję jako Trojan VB.AMTX
___
Artykuł powstał dzięki CORE – polskiemu dystrybutorowi antywirusów AVAST i AVG. Sprawdź dobry antywirus AVG Internet Security. Idealny jeżeli potrzebujesz profesjonalnej ochrony domowego komputera.
[…] Chłopaki z AVG opisują malware, który modyfikuje zawartość strony internetowej. […]