Fotos schmuggeln Schadcode auf Webseiten
Sicherheitsforscher haben eine neue Methode enttarnt, um Schadcode im Web zu platzieren: Über den Inhalt von Bilddateien.
- Fabian A. Scherschel
Bei einem originellen Angriff, der nun zum ersten mal in freier Wildbahn entdeckt wurde, verbirgt sich der verräterische Quellcode eines iFrame-Injection-Angriffs in den Bilddaten einer PNG-Datei. Der Angriff macht sich zu Nutze, dass Bildinformationen durch die meisten Virenscanner nicht untersucht werden.
(Bild: Sucuri)
Bei dem von der Sicherheitsfirma Sucuri entdeckten Angriff lädt ein iFrame in der Webseite eine Javascript-Datei namens jquery.js, die daraufhin eine PNG-Datei lädt. In den Daten des Bildes steckt der eigentliche Exploit-Code, der per Javascript im Browser des Opfers dekodiert und dann ausgeführt wird. Der Schadcode wird in ein unsichtbares iFrame geladen.
Die neue Angriffsmethode ist schwerer zu entdecken, da die Javascript-Elemente keinen Schadcode enthalten, der bei genauerer Betrachtung auffallen würde. Um den Schadcode zu finden, muss man die eigentlichen Bilddaten der PNG-Datei untersuchen. Der Angriff ist dabei nicht auf das PNG-Format beschränkt; der Schadcode könnte auch in anderen Bildformaten eingebettet sein.
Auch die Namensgebung der Javascript-Datei soll offensichtlich ablenken: jQuery ist eine legitime Javascript-Bibliothek, die auf vielen Webseiten benutzt wird.
Korrektur: In einer früheren Version der Meldung war fälschlicherweise die Rede davon, dass der Schadcode in den Metadaten der PNG-Datei versteckt wird. (fab)