Скрываясь на виду: как вредоносное ПО можно спрятать в изображениях с помощью стеганографии?

В области кибербезопасности злоумышленники постоянно развиваются и придумывают новые способы скрывать вредоносный код внутри файлов. Одним из таких методов является стеганография — практика скрытия секретной информации внутри обычного, не секретного сообщения или файла. В контексте цифровых изображений стеганография предполагает внедрение секретных данных в пиксели изображения без изменения его визуального восприятия.

Хотя стеганография может использоваться в законных целях, например, для защиты конфиденциальной информации, злоумышленники также применяют её для скрытия вредоносного ПО в, казалось бы, безобидных файлах. Вредоносное ПО, скрытое в изображениях с помощью стеганографии, может обходить обнаружение традиционным антивирусным программным обеспечением, что делает этот метод эффективным инструментом для атакующих.

Для скрытия вредоносного ПО в изображении с использованием техник стеганографии злоумышленники обычно следуют следующим шагам:

1. Выбор файла изображения: злоумышленники обычно выбирают распространённый формат изображения, такой как JPEG, PNG или BMP, в качестве носителя для своего вредоносного кода. Выбранный файл должен быть достаточным по размеру, чтобы вместить вредоносный код без значительного увеличения размера файла или изменения визуального восприятия.
2. Создание вредоносного кода: вредоносный код — это программный код или данные, которые злоумышленник хочет скрыть в изображении. Это может быть любой тип вредоносного ПО, например вирус, троян или бэкдор.
3. Кодирование вредоносного кода: затем вредоносный код кодируется с помощью техник стеганографии для создания нового файла изображения. Код внедряется в изображение путём изменения наименее значимых битов значений пикселей. Поскольку изменения незначительны и общие цветовые значения пикселей практически не затрагиваются, человеческий глаз не может заметить никаких изменений в изображении.
4. Распространение изображения: злоумышленник распространяет файл изображения с скрытым вредоносным кодом через различные каналы, такие как электронная почта, социальные сети или вредоносные веб-сайты. После загрузки и открытия файла изображения скрытый вредоносный код может быть выполнен, что потенциально может нанести вред системе жертвы.

Обнаружение стеганографии затруднено для антивредоносных средств, поскольку изменения в изображении очень малы. Кроме того, атаки с использованием стеганографии часто появляются как угрозы нулевого дня, что ещё больше усложняет их обнаружение.
Одним из примеров вредоносного ПО, использующего стеганографию, является LokiBot, который крадёт конфиденциальную информацию, такую как имена пользователей, пароли и криптовалютные кошельки. LokiBot устанавливается в виде файлов .jpg и .exe, при этом файл .jpg разблокирует данные, необходимые для реализации вредоносного кода.
 

Новый вариант вредоносного ПО LokiBot использует стеганографию для скрытия своего кода
LokiBot — семейство вредоносного ПО, известное прежде всего кражей информации и кейлоггингом, было обновлено с новыми возможностями для улучшения способности обходить обнаружение. Недавний анализ нового варианта LokiBot, проведённый исследователями Trend Micro, показал, что вредоносное ПО теперь использует стеганографию. Эта техника позволяет скрывать код внутри файла изображения. Кроме того, вредоносное ПО использует обновлённый механизм сохранения присутствия и рассылку спама с вредоносными вложениями в формате ISO для доставки.

Например, Trend Micro обнаружила новый вариант LokiBot, когда компания из Юго-Восточной Азии, подписанная на услугу Managed Detection and Response этой фирмы, получила электронное письмо с потенциально вредоносным вложением и уведомила об этом. В письме было вложение якобы от кондитерской компании из Индии. Однако имя отправителя и подпись в письме не совпадали, а IP-адрес отправителя был известен как вредоносный.

Вредоносное ПО устанавливается как %Temp%[имя_файла].exe вместе с %