Nieuwe PNG-malware fopt virusscanners en Google

Malware-besmetters gebruiken metadata in PNG-afbeeldingen om malware te verspreiden. Virus- en malwarescanners zijn (voorlopig) niet in staat om zulke aanvallen te voorkomen. En andere afbeeldingsformaten zijn ook niet veilig.

De Tsjechische computerbeveiligingsexpert Peter Gramantik ontdekte deze nieuwe manier van malware verspreiden. Op zijn weblog doet de analist van het Amerikaanse beveiligingsbureau Securi uit te doeken hoe deze slimme truc werkt.

metadata-malware

De aanvallers laden een op het eerste gezicht veilig stuk javascript in een verborgen iframe. Het gebruik van een iframe om malware te verspreiden is niets nieuws, maar kan normaliter eenvoudig door detectiesoftware onschadelijk worden gemaakt. Het javascript in deze iframe laadt een, alweer op het eerste gezicht veilig, PNG-bestand. In de metadata van dit bestand staat echter een stukje javascript-code met een verwijzing naar een malware-site. Vervolgens wordt deze code in de iframe geladen, waarna de malware buiten het zicht van de niets vermoedende gebruiker zijn kwaadaardige werk kan doen. Volgens Gramantik een nog nooit eerder vertoonde manier om computers met malware te besmetten.

Wordt geen gehackte site!

De site heeft volgens Google het afgelopen kwartaal meer dan 1200 internetdomeinen ge├»nfecteerd. Maar door deze slimme PNG-truc kan een geblokkeerde malware-site onder Google’s radar blijven. Kies voor het origineel: http://www.antimalwarescan.nl

 

Bron en achtergronden: webwereld.nl