Исследователи обнаружили относительно новый способ распространения зловредов. Можно внедрить код Javasсript в обфусцированные метаданные PNG, чтобы вызывать инъекцию вредоносного фрейма на веб-странице.

Основная цель при использовании данной техники — избежать обнаружения зловреда антивирусным сканером, потому что код спрятан в метаданных.

Простой скрипт jquery.js (на скриншоте) загружает файл dron.png, в котором вредоносный код спрятан в переменной strData.

Фрейм загружается за пределами видимой области экрана (-1000px). Хотя сам пользователь его не видит, но он обрабатывается браузером, что позволяет осуществлять через него атаки типа drive-by или влиять на выдачу поисковой системы, скармливая контент в Google.

На скриншоте показан URL на домене, где размещается два трояна. По статистике Google Safe Browsing, эти трояны поразили более 1000 сайтов за последние 90 дней.

Конечно, данную технику нельзя назвать принципиально новой, она обсуждалась на хакерских конференциях еще в 2009 году.

By Ruslan Novikov

Интернет-предприниматель. Фулстек разработчик. Маркетолог. Наставник.