I ricercatori di Eset hanno messo in allarme contro il malvertising Stegano, una minaccia in circolazione da almeno due anni ma che solo negli ultimi tempi sembra aver intensificato la propria attività malevola. Eset ha scoperto che basta visitare con Internet Explorer un sito contente un banner pubblicitario modificato per rischiare infezioni malware. Banner che secondo Eset sarebbero stati già visualizzati da oltre un milione di utenti IE in poco più due mesi e, tra i Paesi maggiormente colpiti, spicca l’Italia.

Il malvertising Stegano camuffa la propria presenza all’interno di un’immagine e più precisamente nei parametri del canale alpha, che controlla la trasparenza dei singoli pixel di cui si compone un banner pubblicitario. Una modifica a livello cromatico con conseguenze pressoché impercettibili dall’occhio umano, tanto che sia gli utenti, sia gli amministratori dei siti colpiti non si accorgono della differenza.

La presenza di Stegano è stata rilevata dai ricercatori di Eset soprattutto in siti di testate di informazione con domini italiani, spagnoli, britannici, australiani e canadesi. Sui nomi però la società di sicurezza informatica ha mantenuto il riserbo.

malvertising Stegano

La conseguenza principale per chi risulta colpito da Stegano è l’involontaria installazione sul PC di malware come quelli appartenenti alle famiglie di Ursnif e Ramnit, specializzati nel furto di credenziali di email, logging di tastiera, cattura dello schermo, o con lo scopo di installare una backdoor o con quello di sottrarre denaro.

Per entrare in azione, Stegano verifica che il browser non sia protetto da antivirus o da altri software che potrebbero smascherarlo e la sua diffusione dipende da un bug (CVE-2016-0162) presente in vecchie versioni di Internet Explorer e già patchato da Microsoft.

Se Stegano capisce che Internet Explorer ha ancora al suo interno questa vulnerabilità, reindirizza il browser attraverso il servizio TinyUrl verso un sito che ospita tre exploit per vulnerabilità di Flash (CVE-2015-8641, CVE-2016-1019, e CVE-2016-4117), che si attivano a seconda della versione di Flash presenti sul PC della vittima. ”Sfruttando queste falle, i criminali informatici hanno certato di scaricare ed eseguire vari tipi di malware, tra cui backdoor e trojan downloader a loro volta in grado di scaricare altri malware, tra cui varianti di Ursnif e Ramnit”, si legge nel comunicato ufficiale di Eset.

La cosa positiva parlando di Stegano è che le sue minacce valgono solo nei confronti di versioni non aggiornate di Internet Explorer, cosa che rende questo malvertising del tutto innocuo se si utilizzano altri browser o se si è sempre aggiornata la versione di IE che si utilizza abitualmente. Visti però i numeri riportati da Eset, viene logico supporre che moltissimi utenti sparsi per il mondo stiano continuando a utilizzare versioni di Internet Explorer non aggiornate.