Fotos schmuggeln Schadcode auf Webseiten

Sicherheitsforscher haben eine neue Methode enttarnt, um Schadcode im Web zu platzieren: Über den Inhalt von Bilddateien.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 98 Beiträge
Von
  • Fabian A. Scherschel

Bei einem originellen Angriff, der nun zum ersten mal in freier Wildbahn entdeckt wurde, verbirgt sich der verräterische Quellcode eines iFrame-Injection-Angriffs in den Bilddaten einer PNG-Datei. Der Angriff macht sich zu Nutze, dass Bildinformationen durch die meisten Virenscanner nicht untersucht werden.

Der Javascript-Code an sich ist sauber; das Bild dron.png enthält den Schadcode.

(Bild: Sucuri)

Bei dem von der Sicherheitsfirma Sucuri entdeckten Angriff lädt ein iFrame in der Webseite eine Javascript-Datei namens jquery.js, die daraufhin eine PNG-Datei lädt. In den Daten des Bildes steckt der eigentliche Exploit-Code, der per Javascript im Browser des Opfers dekodiert und dann ausgeführt wird. Der Schadcode wird in ein unsichtbares iFrame geladen.

Die neue Angriffsmethode ist schwerer zu entdecken, da die Javascript-Elemente keinen Schadcode enthalten, der bei genauerer Betrachtung auffallen würde. Um den Schadcode zu finden, muss man die eigentlichen Bilddaten der PNG-Datei untersuchen. Der Angriff ist dabei nicht auf das PNG-Format beschränkt; der Schadcode könnte auch in anderen Bildformaten eingebettet sein.

Auch die Namensgebung der Javascript-Datei soll offensichtlich ablenken: jQuery ist eine legitime Javascript-Bibliothek, die auf vielen Webseiten benutzt wird.

Korrektur: In einer früheren Version der Meldung war fälschlicherweise die Rede davon, dass der Schadcode in den Metadaten der PNG-Datei versteckt wird. (fab)