Az iFrame betöltése után megjelenik egy elsőre ártalmatlan jquery.js is, ám később a LoadFile() függvény használata során egy ciklusban kódolódik ki a PNG képbe ágyazott URL, amelyre aztán a böngésző a rejtett átirányítást végzi. A Sucuri szakemberei szerint máris észlelhetőek ilyen valós támadások, vagyis a kártevő megjelent az In the Wild világában. A dolog teljesen észrevehetetlen egy hétköznapi felhasználónak, hiszen a kép akár képernyőn kívüli negatív pozícióban is lehet láthatatlanul, nekünk a későbbiekben viszont majd a "createElement"-ekre lesz érdemes jobban odafigyelni.
Azt is hozzáteszik, hogy nem kizárólag a PNG fájlformátum sebezhető ezzel a módszerrel, hanem akár egyéb más grafikus állomány típusok is. Az is elképzelhető, hogy hamarosan tömegesen jelennek meg a trükköt alkalmazó drive-by-download támadások, és ellephetik majd a Google keresőtalálatokat is az ilyen jellegű SEP mérgezések, hiszen láthatóan nem kell gigantikus erőfeszítés az ilyen rejtett linkes trükkhöz.
A részletes bejegyezést az incidensről és a támadás elemzéséről itt lehet olvasni: http://blog.sucuri.net/2014/02/new-iframe-injections-leverage-png-image-metadata.html
Kártékony PNG képek jöhetnek
Biztonsági kutatók figyeltek fel arra a módszerre, melynél kártékony PNG fájlok böngészőben való betöltésekor egy trükkös iFrames beszúrással lehetett észrevétlenül átirányítani a weboldalak látogatóit tetszőleges rosszindulatú linkekre.
Hozzászólások
A hozzászóláshoz bejelentkezés szükséges.