Ocultándose a Plena Vista: Cómo el Malware Puede Ser Ocultado Usando Esteganografía en Imágenes

En ciberseguridad, los atacantes evolucionan constantemente y desarrollan nuevas formas de ocultar código malicioso dentro de los archivos. Un método es la esteganografía, la práctica de ocultar información secreta dentro de un mensaje o archivo ordinario y no secreto. En el contexto de las imágenes digitales, la esteganografía implica incrustar datos secretos dentro de los píxeles de una imagen sin afectar su apariencia visual.

Aunque la esteganografía puede usarse para fines legítimos, como proteger información sensible, también puede ser utilizada por atacantes para ocultar malware en archivos aparentemente inocentes. El malware oculto en imágenes usando esteganografía puede evadir la detección por software antivirus tradicional, convirtiéndolo en una herramienta efectiva para los atacantes.

Para ocultar malware dentro de una imagen usando técnicas de esteganografía, los atacantes generalmente siguen estos pasos:

1. Seleccionar un archivo de imagen: Los atacantes normalmente eligen un formato de imagen común como JPEG, PNG, o BMP como el archivo portador para su malware. El archivo elegido debe ser suficiente para contener la carga útil del malware sin afectar significativamente el tamaño del archivo o la apariencia visual.
2. Crear una carga útil de malware: La carga útil de malware es el código o los datos que el atacante quiere ocultar dentro de la imagen. La carga útil puede ser cualquier tipo de malware, como un virus, troyano, o puerta trasera.
3. Codificar la carga útil: La carga útil se codifica luego usando técnicas de esteganografía para crear un nuevo archivo de imagen. La carga útil se incrusta dentro de la imagen modificando los bits menos significativos de los valores de píxel. Dado que las modificaciones son menores y los valores de color generales de los píxeles no se ven afectados significativamente, el ojo humano no puede detectar ningún cambio en la imagen.
4. Distribuir la imagen: El atacante luego distribuye el archivo de imagen que contiene el malware oculto a través de varios canales como correo electrónico, redes sociales, o sitios web maliciosos. Una vez que el archivo de imagen es descargado y abierto, la carga útil de malware oculta puede ser ejecutada, causando potencialmente daño al sistema de la víctima.

La detección de la esteganografía es difícil para las herramientas anti-malware porque las modificaciones hechas a una imagen son muy pequeñas. Además, los ataques de esteganografía normalmente aparecen como amenazas de día cero, lo que hace la detección aún más desafiante.
Un ejemplo de malware que usa esteganografía es LokiBot, que roba información sensible como nombres de usuario, contraseñas, y carteras de criptomonedas. LokiBot se instala como un archivo .jpg y .exe, con el archivo .jpg desbloqueando los datos necesarios para la implementación.
 

Nueva Variante de Malware LokiBot Usa Esteganografía para Ocultar su Código
LokiBot, una familia de malware conocida por robar información y registrar pulsaciones de teclas, ha sido actualizada con nuevas capacidades para mejorar su habilidad de evadir detección. Un análisis reciente de una nueva variante de LokiBot por Trend Micro Research reveló que el malware ahora emplea esteganografía. Esta técnica le permite ocultar su código dentro de un archivo de imagen. El malware también usa un mecanismo de persistencia actualizado y correo spam que contiene archivos ISO maliciosos para su entrega.

Por ejemplo, Trend Micro descubrió la nueva variante de LokiBot cuando una compañía del sudeste asiático suscrita al servicio de Detección y Respuesta Administrada de la firma recibió un correo electrónico con un adjunto potencialmente malicioso y los alertó. El correo electrónico contenía un adjunto supuestamente de una compañía de confitería en India. Sin embargo, el nombre del remitente y la firma del correo electrónico no coincidían, y se sabía que la dirección IP del correo electrónico era maliciosa.

El malware se