malware, seguridad digital
Algunas imágenes ocultan más de lo que parece. Incluso las imágenes aparentemente inofensivas pueden ocultar amenazas siniestras.
2 de abril de 2024 • , 4 minutos de lectura
El software de ciberseguridad se ha vuelto significativamente mejor en la detección de archivos sospechosos y las empresas son cada vez más conscientes de la necesidad de fortalecer su postura de seguridad con capas adicionales de protección y estrategias para evadir la detección.
Básicamente, cualquier software de ciberseguridad es lo suficientemente potente como para detectar la mayoría de los archivos maliciosos. Como resultado, los actores de amenazas buscan constantemente diferentes formas de evadir la detección, y un método es mediante el uso de malware oculto en imágenes y fotografías.
Malware oculto en imágenes
Puede parecer descabellado, pero es cierto. El malware se coloca dentro de imágenes de varios formatos mediante esteganografía, una técnica que evade la detección ocultando datos dentro de los archivos. ESET Research ha identificado que esta tecnología está siendo utilizada por el grupo de ciberespionaje Worok. El grupo ocultó código malicioso en archivos de imágenes y recuperó solo información de píxeles específica para extraer y ejecutar la carga útil. Sin embargo, tenga en cuenta que esto se hizo en un sistema ya comprometido. Como se mencionó anteriormente, ocultar malware en imágenes se trata más de evadir la detección que del acceso inicial.
En la mayoría de los casos, las imágenes maliciosas están disponibles en sitios web o se colocan en documentos. Algunos de ustedes recordarán el adware, que es un código oculto en pancartas publicitarias. El código dentro de una imagen no se puede ejecutar, ejecutar ni extraer por sí solo mientras está incrustado. Se debe entregar otro malware que extraiga y ejecute el código malicioso. El nivel de interacción del usuario requerido aquí varía y la probabilidad de notar actividad maliciosa parece depender más del código involucrado en la extracción que de la imagen misma.
bit menos significativo (más significativo)
Una de las formas más sofisticadas de incrustar código malicioso en una imagen es reemplazar el bit menos significativo del valor alfa rojo, verde, azul (RGBA) de cada píxel con una pequeña porción del mensaje. Otra técnica consiste en incrustar algo en el canal alfa de la imagen (que representa la opacidad del color) utilizando sólo las partes menos importantes. Con este método, la imagen se ve casi igual que una imagen normal y las diferencias son difíciles de detectar a simple vista.
Un ejemplo es cuando una red publicitaria legítima publica anuncios que pueden enviar pancartas maliciosas desde un servidor comprometido. El código JavaScript se extrajo del banner y aprovechó la vulnerabilidad CVE-2016-0162 presente en algunas versiones de Internet Explorer para obtener información detallada sobre el objetivo.
Ambas imágenes pueden parecer iguales, pero una de ellas contiene código malicioso en el canal alfa de sus píxeles. Observe cómo la imagen de la derecha está extrañamente pixelada.
(Fuente: Investigación de ESET)
Las cargas útiles maliciosas extraídas de imágenes se pueden utilizar para diversos fines. En el caso de vulnerabilidad de Explorer, verificamos si el script extraído se está ejecutando en una máquina monitoreada, como la máquina de un analista de malware. De lo contrario, serás redirigido a la página de inicio del kit de exploits. Después de la explotación, la carga útil final se utilizó para distribuir malware como puertas traseras, troyanos bancarios, software espía y ladrones de archivos.
De izquierda a derecha: una imagen limpia, una imagen con contenido malicioso y la misma imagen maliciosa resaltada para resaltar el código malicioso (Fuente: Investigación de ESET)
Como puedes ver, la diferencia entre una imagen limpia y una maliciosa es insignificante. Para la persona promedio, la imagen maliciosa solo se verá ligeramente diferente y, en este caso, la apariencia extraña puede deberse a la mala calidad y resolución de la imagen, pero en realidad, la imagen de la derecha. Cualquier píxel oscuro resaltado en la imagen es signos de código malicioso.
No hay necesidad de entrar en pánico
Entonces, quizás te preguntes si las imágenes que ves en las redes sociales podrían estar ocultando códigos peligrosos. Las imágenes cargadas en sitios web de redes sociales suelen estar muy comprimidas y modificadas, lo que hace extremadamente difícil para los actores de amenazas ocultar código completamente conservado y funcional dentro de la imagen. Esto probablemente sea obvio cuando comparas las fotos de antes y después que subes a Instagram. Suele haber una diferencia notable en la calidad.
Lo más importante es que la ocultación de píxeles RGB y otras técnicas de esteganografía solo son potencialmente peligrosas si los datos ocultos son leídos por un programa que puede extraer código malicioso y ejecutarlo en el sistema. Las imágenes se utilizan a menudo para ocultar malware descargado desde servidores de comando y control (C&C) para evitar la detección por parte del software de ciberseguridad. En un caso, se descargó un caballo de Troya llamado ZeroT en la máquina de la víctima a través de un documento de Word infectado adjunto a un correo electrónico. Pero eso no es lo más interesante. Curiosamente, también se descargó una variante de PlugX RAT (también conocido como Korplug) que utiliza esteganografía para extraer malware de imágenes de Britney Spears.
En otras palabras, si está protegido contra troyanos como ZeroT, no necesita preocuparse demasiado por el uso de la esteganografía.
Finalmente, el código de explotación extraído de la imagen no puede explotar con éxito la vulnerabilidad a menos que exista. Si su sistema ya está parcheado, es poco probable que el exploit funcione. Por lo tanto, es una buena idea mantener actualizados su ciberprotección, sus aplicaciones y su sistema operativo. Los exploits de los kits de exploits se pueden evitar ejecutando software completamente parcheado y utilizando soluciones de seguridad confiables y actualizadas.
Se aplican las mismas reglas de ciberseguridad que antes. Y crear conciencia es el primer paso para vivir una vida más cibersegura.
Fuente: https://www.welivesecurity.com/en/malware/malware-hiding-in-pictures-more-likely-than-you-think/