Tutorials Brawte nfaq 0 Comments

一枚の写真は千の言葉に匹敵する。ピクセルは最大500万人のオタクを攻撃:犯罪者はステガノグラフィーを使って広告に不正コードを隠蔽

Table of Contents

一枚の写真は千の言葉に匹敵する。ピクセルは最大500万人のオタクを攻撃:犯罪者はステガノグラフィーを使って広告に不正コードを隠蔽

今週、オンラインバナー広告の画像を介して Mac 上で悪意のある JavaScript を実行するステガノグラフィーを使用するマルウェアの一種が検出されたと主張された。

セキュリティ企業ConfiantとMalwarebytesの共同レポートでは、汚染された広告画像を通じて拡散するマルバタイジング活動「VeryMal」の手法を詳細に調査しました。その結果、ステガノグラフィーを用いて画像にコードを隠すことで、セキュリティフィルターを回避していることが判明しました。

このコードはブラウザで実行されると、訪問者を怪しいサイトにリダイレクトします。これらのサイトは、Adobe Flashのアップデートなどをインストールさせようとしますが、実際にはアドウェアであり、バックグラウンドで密かに広告をクリックすることで、キャンペーンの首謀者に収益をもたらします。Windows PCに対しては、このような事例が以前にも発生しています。

VerMalは1月11日から13日にかけて、米国のmacOSおよびiOSユーザーをターゲットに、上位100社のパブリッシャーウェブサイトの4分の1が利用する2つの大手アドエクスチェンジで活動していたと伝えられています。Confiantによると、VerMalは12月にも活動していたとのことです。

結果として、1日あたり最大500万人ものネットユーザーが悪意ある広告を目にし、業界はわずか1日で120万ドルの損害を被ったとされています。この金額は、こうした怪しい広告を掲載することによる推定影響であり、ブロッカーの増加、パブリッシャーへの信頼の失墜、広告主や広告ネットワークが不正クリックに対して支払う金銭など、多岐にわたります。

「マルバタイジングの検出技術が成熟するにつれ、巧妙な攻撃者は、明らかな難読化の手法ではもはや効果がないということを学び始めている」とコンフィアントのセキュリティエンジニア、エリヤ・スタイン氏は説明した。

一般的なJavaScript難読化ツールの出力は、非常に特殊な意味不明な文字列であり、肉眼でも容易に判別できます。ステガノグラフィのような技術は、16進数でエンコードされた文字列や大規模なルックアップテーブルに頼ることなく、ペイロードを密輸するのに役立ちます。

リストを携えたギリシャ人にご用心:銀行襲撃の凶悪なゼウスはJPEGで攻撃命令を密輸

続きを読む

スタイン氏によると、VeryMalの場合、コードを含むバナー広告画像は単なる無害な画像であり、それ自体は危険ではなく、ブラウザの脆弱性を悪用するものでもないという。しかし、画像のピクセルには悪意のあるJavaScriptコードがエンコードされている。重要なのは、この広告が、一見無害に見える小さなJavaScriptコードとともにブラウザに配信される点だ。このJavaScriptコードは画像のピクセルを読み取り、そのバイト列から悪意のあるスクリプトを文字列に抽出し、その文字列を実行する。

(現代では、広告は画像とコードのパッケージとして取得され、後者は前者が実際の人間によって表示されたかどうかを広告ネットワークに知らせるということを忘れないでください。たとえば、読者が広告をスクロールする速度が速すぎる場合、バンドルされているウォッチドッグコードによって成功したインプレッションとして報告されません。広告は取得されたものの、ブロッカーのために視覚的にレンダリングされなかった場合、ウォッチドッグは再びネットワークに密告します。)

悪意のあるJSをスキャンするセキュリティソフトウェアは、広告画像に紛れ込んだJSを検出できず、サイドロードされた抽出コードを通過させてしまう可能性があります。もちろん、こうした問題に対する解決策の一つは、広告画像とサイドキックコードの取得をブロックすることです。(ただし、当社の広告のような、良質な広告はホワイトリストに登録するようにしてください。)

興味深いことに、このコードはAppleフォントが存在するかどうかを確認し、存在する場合はMac上で実行されていると判断して処理を続行します。Mac以外のOSでは、この時点で処理が停止します。レポートによると、抽出手順の全文は以下のとおりです。

「こうした種類の攻撃をめぐる騒ぎの多くは、画像ファイルだけが脅威であり、日々のウェブ閲覧中にブラウザが読み込む画像も恐れなければならないと思わせようとするが、これは真実からかけ離れている」とスタイン氏は語った。

「広告で提供される個々の画像ファイルの整合性を検証することは、これらのペイロードの実行というより広い文脈の中ではほとんど意味がありません。

「Confiantのベンチマークによると、1月11日のピークだけでも120万ドルを超えるコスト影響があったと推定されています。これは、Confiantが過去1ヶ月間で検知・ブロックした数百件の攻撃のうちの1件に過ぎないことを考えると、デジタル広告業界が直面する問題の規模がより明確になります。」®

Tutorials

Smart Recommendations

Discover More