speakerNOVO!iShredder™ Empresarial para iOS e Android agora está disponível para usuários corporativos.Saiba mais

Escondido à Vista: Como Malware Pode Ser Oculto Usando Esteganografia em Imagens?

Escondido à Vista: Como Malware Pode Ser Oculto Usando Esteganografia em Imagens?
Março 09, 2023

Na cibersegurança, os atacantes estão constantemente evoluindo e desenvolvendo novas formas de ocultar códigos maliciosos dentro de arquivos. Um desses métodos é a esteganografia, a prática de esconder informações secretas dentro de uma mensagem ou arquivo comum, não secreto. No contexto de imagens digitais, a esteganografia envolve incorporar dados secretos nos pixels de uma imagem sem afetar sua aparência visual.

Embora a esteganografia possa ser usada para fins legítimos, como proteger informações sensíveis, ela também pode ser utilizada por atacantes para esconder malware em arquivos aparentemente inocentes. Malware oculto em imagens usando esteganografia pode escapar da detecção por softwares antivírus tradicionais, tornando-se uma ferramenta eficaz para os atacantes.

Para esconder malware dentro de uma imagem usando técnicas de esteganografia, os atacantes normalmente seguem estes passos:

  1. Selecionar um arquivo de imagem: Os atacantes geralmente escolhem um formato comum de imagem, como JPEG, PNG ou BMP, como arquivo portador para seu malware. O arquivo escolhido deve ser suficiente para conter a carga útil do malware sem afetar significativamente o tamanho do arquivo ou a aparência visual.
  2. Criar uma carga útil de malware: A carga útil do malware é o código ou dados que o atacante deseja esconder dentro da imagem. A carga pode ser qualquer tipo de malware, como vírus, trojan ou backdoor.
  3. Codificar a carga útil: A carga útil é então codificada usando técnicas de esteganografia para criar um novo arquivo de imagem. A carga é incorporada na imagem modificando os bits menos significativos dos valores dos pixels. Como as modificações são pequenas e os valores gerais de cor dos pixels não são significativamente afetados, o olho humano não consegue detectar alterações na imagem.
  4. Distribuir a imagem: O atacante então distribui o arquivo de imagem contendo o malware oculto por vários canais, como e-mail, redes sociais ou sites maliciosos. Uma vez que o arquivo de imagem é baixado e aberto, a carga útil oculta do malware pode ser executada, potencialmente causando danos ao sistema da vítima.

Detectar esteganografia é difícil para ferramentas anti-malware porque as modificações feitas em uma imagem são muito pequenas. Além disso, ataques de esteganografia geralmente aparecem como ameaças zero-day, tornando a detecção ainda mais desafiadora.
Um exemplo de malware que usa esteganografia é o LokiBot, que rouba informações sensíveis como nomes de usuário, senhas e carteiras de criptomoedas. O LokiBot se instala como um arquivo .jpg e .exe, sendo que o arquivo .jpg desbloqueia os dados necessários para a implementação.
 

Nova Variante do Malware LokiBot Usa Esteganografia para Ocultar Seu Código
O LokiBot, uma família de malware inicialmente conhecida por roubar informações e realizar keylogging, foi atualizado com novas capacidades para melhorar sua habilidade de evadir a detecção. Uma análise recente de uma nova variante do LokiBot pela Trend Micro Research revelou que o malware agora emprega esteganografia. Essa técnica permite que ele esconda seu código dentro de um arquivo de imagem. O malware também utiliza um mecanismo de persistência atualizado e e-mails de spam contendo anexos maliciosos em arquivos ISO para entrega.

Por exemplo, a Trend Micro descobriu a nova variante do LokiBot quando uma empresa do Sudeste Asiático, assinante do serviço Managed Detection and Response da empresa, recebeu um e-mail contendo um anexo potencialmente malicioso e alertou a equipe. O e-mail continha um anexo supostamente de uma empresa de confeitaria na Índia. No entanto, o nome do remetente e a assinatura do e-mail não correspondiam, e o endereço IP do e-mail era conhecido por ser malicioso.

O malware é instalado como %Temp%[nome do arquivo].exe, junto com %temp%[nome do arquivo].jpg, que contém dados binários criptografados usados durante as etapas de desempacotamento até que o código principal do LokiBot seja descriptografado na memória. Uma vez descriptografado, o malware rouba credenciais do aplicativo alvo.

Ao usar esteganografia, o LokiBot adiciona uma camada adicional de ofuscação ao seu código e utiliza um interpretador de arquivos de script Visual Basic para executar seu código, em vez de executar o malware diretamente. Essa técnica torna mais difícil detectar e analisar o malware.
 

Como se proteger
Para se proteger contra esteganografia em imagens, as organizações devem prestar atenção a cada imagem e usar softwares de edição de imagem para procurar indicadores de esteganografia

Este artigo foi útil? Sim Não
3 de 3 pessoas acharam este artigo útil
Cancelar Enviar
Back Voltar