Как распространяют вирусы через картинки

Слишком большое количество людей было заражено «Локи» совсем недавно, по этому данная ситуация привлекла моё внимание. Без детального исследования самой вредоносной программы, я собираюсь проанализировать вектор её атаки, которая распространяет Локи через мессенджер в Facebook, через отправку изображений. Дистрибьюторы Локи используют также офисные документы Word, для распространения своего «зла» в подобные модификации вредоноса, мы когда-нибудь поговорим о них в другой статье.

На Facebook и Linkedin «Локи» распространяется через SVG изображения, после того как вредонос попадает к жертве, он копирует себя и отправляет всем кто есть в списке друзей. Файл полученный от своего надёжного друга, не выглядит для большинства людей подозрительным, если Вы такой же наивный, как они, надеюсь это изменит Ваше отношение. Надо сказать, что открытие этого изображения ещё не достаточно, для полного заражения Вашей системы, но оно ведёт к нему.

Для начала необходимо понять, что такое SVG, это масштабируемая векторная графика, формат изображения с 1999 года, который на данный момент поддерживают все основные браузеры.

Почему же авторы вредоносных программ выбрали имено SVG?

SVG-это XML-формат, который означает, что он может содержать внедрённые объекты, такие как JavaScript, который может быть открыт в браузере напрямую. Таким образом, хакеры могут использовать широчайшие возможности JavaScript, скрытые в изображениях.

Прежде чем открывать изображение SVG в браузере, Вы обязаны взглянуть на код, просто открыт его в текстовом редакторе. Например, посмотрим на каждый экземпляр сценария. Локи, по своей сути, это запутывание, каждой строки, которая может случайным образом видоизменяться, изменяться постоянно вместе с самим вирусом.

Краткое описание.

В нашем примере, хакеры добавляют JavaScript, код внутри самого файла, который перенаправляет Вас на вредоносный сайт, имитирующий YouTube. Как Вы попали на него сайт помещает всплывающие окно, которое загружает и устанавливает определённое расширение для того же Google Chrome, для чего? Для того чтобы Вы могли посмотреть видео, формат видео не поддерживается, видите ли.

Вставка изображения

Вредоносные расширения дают возможность злоумышленнику считывать и изменять все данные на сайтах, которые посещает жертва, а далее они просто автоматически копируют SVG файл и распространяют его всем Вашим друзьям. Сразу же после установки, загружает ещё расширения и выполняет несколько фоновых скриптов.

Один из скриптов автоматически с некоторой периодичностью перенаправляет жервту на сайт, который продолжает автоматически загружать вредонос, и другие вредоносные программы.

Анализ кода SVG

Первые несколько строк всегда хорошие, они дружелюбные. дабы не вызывать подозрений.

А затем начинаетя самое интересное — JavaScript. Во-первых есть функция jxnpgmlk , которая выступает в качестве заглушки, для выходной строки, то есть эти это строки, в которых функция вызывается несколько раз.

Точного алгоритма нет, по этому мы можем использовать простой трюк, чтобы увидеть, что именно он делает. Я изменил код, чтобы взять и распечатать его значения переменных: cujnl, gnqrek, zvlgj и yaqjv, с помощью консоли, и вот результат.

Переменная cujnl = “top”, gnqrek = “location”, zvlgj = “href” и yaqjv[cujnl][gnqrek][zvlgj] = “http://mourid.com/php/trust.php . Сценарий направлен на то, чтобы веб-сайты, на которые перенаправляет жертву, выглядящие как копия YouTube, постоянно прогружались. В моём случае он назывался http://vepetamev.specialvideo.news/zidelevuzo.html. Как и сами расширения адреса этих сайтов постоянно меняются.

Если жертва принимает вредоносное расширение, всё цель достигнута. Хакеры уже могут читать и изменять все данные в браузере, Вы думаете игра окончена? Давайте внимательней взглянем, на то что делает это расширение.

Расширение анализ

Я скачал это расширение для тщательного осмотра, но конечно, делал всё это в песочнице. Как уже упоминалось выше, расширение запускает несколько фоновых страниц, для злоумышленника.

«Общая потребность расширения это создание единого скрипта для управление какой-либо задачей или всей системой, нужно ещё больше фоновых страниц. Они существуют для продления жизни вредоноса».

Код загружает и выполняет большое количество фоновых скриптов. Таким образом сценарии могут быть изменены в любое время, если хакеры получают разные данные. Сейчас фоновые сценарии работают для дальнейшего распространения вредоносного ПО по друзьям в Facebook, с последующим перенаправлением жертвы и всех его друзей на веб-сайты, что приводит к установке самого Локи и началу вымогательств.

Заключение

Изображения SVG эффектины, так как атаки с их помощью якоыб не угрожают репутации, но они требуеют нескольк кликов пользователей, для выполненияуставноки вредоносного ПО. Расширение для браузера может шпионить за Вами, это является довольно большой проблемой само по себе, а так же приводит к загрузке и установке целого ряда других вредоносных программ. Я думаю, что главная задача этого расширения «читать и изменять все Ваши данные на всех посещаемых Вами веб-сайтах». Разумеется оно угрожает только технически не подкованным людям, нубам или ламерам, но к сожалению, их абсолютное большинство. Нормальным пацанам, извините за мой сленг, но мы — параноики, нормальные пацаны, это точно не угрожает, так как все нормальные пацаны сидят с линукса =)