Menü
Security

Fotos schmuggeln Schadcode auf Webseiten

Sicherheitsforscher haben eine neue Methode enttarnt, um Schadcode im Web zu platzieren: Über den Inhalt von Bilddateien.

vorlesen Drucken Kommentare lesen 98 Beiträge

Bei einem originellen Angriff, der nun zum ersten mal in freier Wildbahn entdeckt wurde, verbirgt sich der verräterische Quellcode eines iFrame-Injection-Angriffs in den Bilddaten einer PNG-Datei. Der Angriff macht sich zu Nutze, dass Bildinformationen durch die meisten Virenscanner nicht untersucht werden.

Der Javascript-Code an sich ist sauber; das Bild dron.png enthält den Schadcode.

(Bild: Sucuri)

Bei dem von der Sicherheitsfirma Sucuri entdeckten Angriff lädt ein iFrame in der Webseite eine Javascript-Datei namens jquery.js, die daraufhin eine PNG-Datei lädt. In den Daten des Bildes steckt der eigentliche Exploit-Code, der per Javascript im Browser des Opfers dekodiert und dann ausgeführt wird. Der Schadcode wird in ein unsichtbares iFrame geladen.

Die neue Angriffsmethode ist schwerer zu entdecken, da die Javascript-Elemente keinen Schadcode enthalten, der bei genauerer Betrachtung auffallen würde. Um den Schadcode zu finden, muss man die eigentlichen Bilddaten der PNG-Datei untersuchen. Der Angriff ist dabei nicht auf das PNG-Format beschränkt; der Schadcode könnte auch in anderen Bildformaten eingebettet sein.

Auch die Namensgebung der Javascript-Datei soll offensichtlich ablenken: jQuery ist eine legitime Javascript-Bibliothek, die auf vielen Webseiten benutzt wird.

Korrektur: In einer früheren Version der Meldung war fälschlicherweise die Rede davon, dass der Schadcode in den Metadaten der PNG-Datei versteckt wird. (fab)