Hujumchilar o’zlarini «yaxshilangan» steganografiya bilan qurollashdi
Zararli dasturlarni yashirish uchun Polyglot tasvirlaridan foydalangan holda hujumlar aniqlandi.
Devcon tadqiqotchilari yangi zararli dastur kampaniyasini kashf etdilar, unda tajovuzkorlar zararli dasturlarni yashirish uchun juda noodatiy usul – Poliglot tasvirlari – dan foydalanadilar. Poliglotni steganografiya bilan osongina adashtirish mumkin, ammo bitta muhim farq bor. Steganografiya piksellarni boshqarish orqali grafik tasvir ichida zararli kodni yashirishni o’z ichiga oladi. Inson ko’zi ba’zi piksellardagi o’zgarishlarni aniqlay olmaydi va zararli dastur aniqlanmaydi. Hujum, shuningdek, tasvirdan alohida, o’zgartirilgan piksellarni aniqlash va ulardan zararli kod yaratishga qodir bo’lgan qo’shimcha JavaScript kodini talab qiladi.
Polyglot holatida zararli fayl ham rasm, ham JavaScript kodi bo’lishi mumkin, shuning uchun zararli dasturni ajratib olish uchun qo’shimcha skriptlar talab qilinmaydi. Bir vaqtning o’zida ham grafik tasvir, ham skript sifatida ishlay oladigan fayl yaratish uchun tajovuzkorlar kompyuterlarning bu ikki butunlay boshqa fayl turlarini qanday talqin qilishidan foydalanadigan aqlli hiyla ishlatadilar.
Poliglot hujumi brauzerning faqat rasm ichidagi kodni ishga tushirishiga va boshqa barcha kontentni e’tiborsiz qoldirishiga asoslanadi. Boshqacha qilib aytganda, brauzer tarjimoni rasm ma’lumotlarini e’tiborsiz qoldiradi va faqat foydali yuklama satrini ishga tushiradi.
Tadqiqotchilarning fikriga ko’ra, tajovuzkorlar zararsiz reklama niqobi ostida BMP tasvirlarida zararli dasturlarni tarqatadilar. Brauzerga yuklangandan so’ng, tasvir shifrlangan xabarga aylantiriladi va uning ma’nosi tasvirga kiritilgan dekodlovchi orqali ishga tushirilganda aniq bo’ladi.
Zararli kontent Amazon Web Services’ning Cloudfront kontent yetkazib berish tarmog‘i orqali tarqatiladi. URL manzili foydalanuvchilarni asl sahifasidan «Baxt g‘ildiragi»ga o‘xshash lotereya sahifasiga yo‘naltirish uchun mo‘ljallangan.
