Hakerzy Ukrywają Malware w Obrazach z Zaufanej Strony Internetowej

Nowy raport od HP Wolf Security podkreśla niepokojące postępy w taktykach dostarczania złośliwego oprogramowania, w tym umieszczanie szkodliwego kodu w pozornie niewinnych obrazach zamieszczonych na legalnych platformach.

Jednym z najbardziej wybitnych odkryć jest związane z kampaniami malware, które umieszczały szkodliwe kody w plikach obrazów. Te obrazy były przesyłane na archive.org, zaufaną stronę do udostępniania plików, aby uniknąć podejrzeń. Dzięki temu, hakerzy byli w stanie omijać powszechne środki bezpieczeństwa, takie jak filtry sieciowe, które często polegają na reputacji strony internetowej.

Dwa rodzaje złośliwego oprogramowania były rozpowszechniane za pomocą tej taktyki: VIP Keylogger i 0bj3ctivityStealer. Obie są zaprojektowane do kradzieży wrażliwych informacji, takich jak hasła i dane kart kredytowych.

Hakerzy wysłali e-maile, podszywając się pod faktury lub zamówienia, aby skłonić firmy do pobrania złośliwych załączników. Te załączniki zawierały pliki, które, po otwarciu, wywoływały reakcję łańcuchową.

Proces obejmował pobieranie pozornie nieszkodliwego pliku obrazu z archive.org. Ukryte w obrazie było zakodowane złośliwe oprogramowanie, które następnie instalowało się na komputerze ofiary.

Jeden z obrazów powiązanych z tą kampanią został wyświetlony prawie 29 000 razy, co daje wskazówkę o dużej skali ataku.

Gdy obraz zostanie pobrany, fragment kodu wyodrębnia i dekoduje ukryte w nim złośliwe oprogramowanie. Malware następnie działa na urządzeniu ofiary, rejestruje naciśnięcia klawiszy, kradnie hasła, a nawet robi zrzuty ekranu. Aby atak był trwały, malware modyfikuje rejestr komputera, zapewniając jego uruchomienie za każdym razem, gdy komputer jest włączany.

Raport mówi, że ta metoda ukrywania złośliwego kodu w obrazach jest szczególnie skuteczna, ponieważ wykorzystuje legalne platformy, co utrudnia wykrycie przez tradycyjne narzędzia bezpieczeństwa.

Badacze dodają, że te incydenty podkreślają skuteczność ponownego wykorzystania zestawów i komponentów malware, ponieważ obie kampanie wykorzystały ten sam ładowarkę .NET do instalowania swoich odpowiednich ładunków. Ten modularny sposób działania nie tylko usprawnił proces tworzenia dla aktorów zagrożeń, ale także pozwolił im skoncentrować się na udoskonalaniu technik, aby uniknąć wykrycia.

Osadzanie złośliwego kodu w obrazach to nie nowa taktyka, ale reprezentuje wzrost jej popularności dzięki postępowi w metodach zaciemniania i dostarczania. Raport podkreśla potrzebę zwiększenia ochrony punktów końcowych i szkoleń dla pracowników w zakresie świadomości, aby przeciwdziałać tak złożonym zagrożeniom.

W miarę jak cyberprzestępcy nieustannie innowują, wykorzystując legalne narzędzia i platformy, raport ten stanowi surowe przypomnienie o dynamicznie zmieniającym się krajobrazie cyberzagrożeń. Zespoły bezpieczeństwa muszą pozostać czujne, przyjąć proaktywne środki i być na bieżąco z informacjami, aby zminimalizować ryzyko wynikające z tych pojawiających się zagrożeń.