HTCinside
Хакери розвиваються з часом. Вони знаходять нові способи впровадження шкідливих програм у системи. Недавнє відкриття Blackberry Cylance у своїй кампанії зловмисного програмного забезпечення показує, що хакери використовують аудіофайли WAV, щоб приховати шкідливі коди, що є типовим прикладом стеганографії.
Для вашої інформації, стеганографія — це техніка, яку використовують хакери, щоб приховати зловмисне програмне забезпечення у файлі, який зовні виглядає нормально, але містить шкідливий код усередині. За допомогою цих файлів хакери легко обходять брандмауер безпеки системи. Раніше хакери зазвичай використовували для націлювання виконувані файли та формати файлів зображень.
Але під час виявлення зловмисного програмного забезпечення Blackberry Cylance кібер-зловмисники використовують аудіофайли WAV, щоб приховати зловмисне програмне забезпечення під назвою XMRrig. Згідно зі звітом Cylance, WAV-файли вводять компонент завантажувача, який призначений для декодування та виконання команд для дії шкідливих кодів.
Пізніше дослідники безпеки з’ясували, що корисні навантаження Metasploit і XMRrig роблять комп’ютер жертви доступним для майнінгу криптовалют. Завдяки цьому комп’ютери жертви стають уразливими до загроз.
Джош Лемос, віце-президент з досліджень і розвідки в BlackBerry Cylance, сказав, що «це перший інцидент, коли хакери використовували зловмисне програмне забезпечення для майнінгу за допомогою Steganography. Однак використання аудіофайлів хакерами відбувається не вперше. Раніше також робилися спроби використання аудіофайлів для приховування шкідливих програм».
Читати –Колишній інженер Yahoo зламав 6000 акаунтів у пошуках оголених«Кожен файл WAV був поєднаний із компонентом завантажувача для декодування та виконання шкідливого вмісту, таємно вплетеного в аудіодані файлу», — йдеться у звіті. «Під час відтворення деякі файли WAV створювали музику, яка не мала помітних проблем із якістю чи збоїв. Інші просто генерували статику (білий шум)».
Дослідники далі пояснили, що «за умови, що зловмисник не пошкодить структуру та обробку формату контейнера. Прийняття цієї стратегії вводить додатковий рівень обфускації, оскільки базовий код розкривається лише в пам’яті, що ускладнює виявлення».
У червні цього року таке зловмисне програмне забезпечення було вперше помічено, коли російська кібершпигунська група Turla використовувала WAV-файли для ін’єкції зловмисного програмного забезпечення зі своїх серверів на комп’ютери. Турла також відповідав зазміна Chrome і Firefox для відстеження веб-трафіку TLS.
Інциденти стеганографії спостерігалися багато разів раніше з такими форматами зображень, як PNG і JPEG, але це перший раз, коли стеганографію використовують для уникнення виявлення зловмисного програмного забезпечення.
За словами Сайленса, важко приписати атаки цього місяця групі загроз Turla, оскільки будь-який зловмисник може використовувати подібні шкідливі інструменти та TTP.
Кіберексперти припустили, що повністю викорінити стеганографію є складним завданням. Тому користувачі повинні бути пильними та обережними, завантажуючи будь-які аудіофайли з незахищених веб-сайтів.