Unele imagini sunt mai mult decât ce se poate observa cu ochiul liber, căci fațada lor aparent inocentă poate ascunde o amenințare sinistră.

Software-ul de securitate cibernetică a devenit destul de capabil să detecteze fișiere suspecte și, având în vedere că întreprinderile devin din ce în ce mai conștiente de necesitatea de a-și îmbunătăți poziția de securitate cu straturi suplimentare de protecție, subterfugiile răufăcătorilor pentru a evita detectarea au devenit din ce în ce mai sofisticate.

În esență, orice software de securitate cibernetică este suficient de puternic pentru a detecta majoritatea fișierelor malițioase. Prin urmare, actorii de amenințare caută în permanență diferite modalități de a se sustrage detectării, iar printre aceste tehnici se numără utilizarea de programe malware ascunse în imagini sau fotografii.

Malware ascuns în imagini

Deși ar putea părea neverosimil, acest lucru este foarte real. Programele malware plasate în imagini de diferite formate sunt rezultatul steganografiei, tehnica de ascundere a datelor într-un fișier pentru a evita detectarea. Specialiștii ESET Research au depistat această tehnică ca fiind folosită de grupul de spionaj cibernetic Worok, care a ascuns codul malițios în fișiere de tip imagine, luând doar informații specifice despre pixeli din acestea pentru a extrage o sarcină de executat. De menționat că acest lucru a fost realizat pe sisteme deja compromise, deoarece, așa cum am explicat anterior, ascunderea de programe malware în interiorul imaginilor vizează mai mult evitarea detectării decât obținerea accesului inițial.

Cel mai adesea, imaginile malițioase sunt puse la dispoziție pe site-uri web sau plasate în interiorul unor documente. Acestea ar putea aminti de adware, codul ascuns în bannere publicitare. Codul malițios inserat în imagine nu poate fi rulat, executat sau extras de unul singur, în timp ce este încorporat. Acesta trebuie să fie însoțit de un alt program malware care să se ocupe de extragerea și de executarea acestuia. În acest caz, nivelul de interacțiune cu utilizatorul este diferit, iar probabilitatea ca cineva să observe activitatea malițioasă pare să depindă mai mult de codul implicat în extragere decât de imaginea în sine.

Modalități de inserare

Una dintre cele mai viclene modalități de a încorpora un cod malițios într-o imagine constă în înlocuirea bitului cel mai puțin semnificativ din fiecare valoare roșu-verde-albastru-alfa (RGBA) a fiecărui pixel cu o mică parte din mesaj. O altă tehnică este de a-l încorpora în canalul alfa al imaginii (care indică opacitatea unei culori), folosind doar o porțiune nesemnificativă. În acest fel, imaginea apare ca una obișnuită, făcând orice diferență greu de detectat cu ochiul liber.

Un exemplu în acest sens a fost atunci când rețelele de publicitate legitime au transmis anunțuri publicitare care puteau conduce la un banner malițios trimis de un server compromis. Codul JavaScript a fost extras din banner, exploatând vulnerabilitatea CVE-2016-0162 din unele versiuni de Internet Explorer, pentru a obține mai multe informații despre țintă.

Ar putea părea că ambele imagini sunt identice, dar una dintre ele include cod malițios în canalul alfa. Observați cum imaginea din dreapta este ciudat de pixelată. (Sursa: ESET Research)

Sarcinile malițioase extrase din imagini pot fi utilizate în diverse scopuri. În cazul vulnerabilității Explorer, scriptul extras a verificat dacă era rulat pe un computer monitorizat, cum ar fi cel al unui analist de programe malware. În caz contrar, acesta era redirecționat către o pagină de destinație a unui kit de exploatare. După exploatare, un executabil era utilizat pentru a livra malware, precum programe backdoor, troieni bancari, programe spion, instrumente de sustragere fișiere și altele similare.

De la stânga la dreapta: Imagine curată, imagine cu conținut malițios și aceeași imagine malițioasă îmbunătățită pentru a evidenția codul malițios (Sursa: ESET Research)

După cum puteți vedea, diferența dintre o imagine inofensivă și una ce conține cod malițios este destul de mică. Pentru un utilizator obișnuit, imaginea malițioasă ar putea arăta doar puțin diferit și, în acest caz, aspectul ciudat ar putea fi pus pe seama calității și rezoluției slabe a imaginii, dar realitatea este că toți acei pixeli întunecați evidențiați în imaginea din dreapta sunt indicatori ai codului malițios.

Nici un motiv de panică

S-ar putea să vă întrebați, așadar, dacă imaginile pe care le vedeți pe rețelele de socializare ar putea adăposti cod periculos. Luați în considerare faptul că imaginile încărcate pe site-urile de socializare sunt, de obicei, puternic comprimate și modificate, astfel încât ar fi foarte dificil pentru un actor de amenințare să ascundă în ele un cod complet conservat și funcțional. Acest lucru este poate evident atunci când comparați modul în care apare o fotografie înainte și după ce ați încărcat-o pe Instagram, de obicei, există diferențe clare de calitate.

Cel mai important, ascunderea pixelilor RGB și utilizarea altor metode steganografice pot reprezenta un pericol doar atunci când datele ascunse sunt citite de un program care poate extrage codul malițios și îl poate executa în sistemul compromis. Imaginile sunt adesea folosite pentru a ascunde programe malware descărcate pe serverele de comandă și control (C&C) pentru a evita detecția de către software-ul de securitate cibernetică. Într-un caz, un troian numit ZeroT, prin intermediul unor documente Word infestate atașate e-mailului, a fost descărcat pe dispozitivele victimelor. Totuși, aceasta nu este cea mai interesantă parte. Ceea ce este interesant este faptul că a fost descărcată și o variantă a RAT-ului PlugX (alias Korplug) - folosind steganografia pentru a extrage malware dintr-o imagine cu Britney Spears.

Cu alte cuvinte, dacă sunteți protejat împotriva troienilor precum ZeroT, atunci nu trebuie să vă preocupați de utilizarea steganografiei de către acesta.

În cele din urmă, orice cod extras din imagini depinde de prezența vulnerabilităților pentru a fi exploatat cu succes. Dacă dispozitivele dvs. sunt deja actualizate cu cele mai recente patch-uri de securitate, nu există nicio șansă ca tentativa de infectare cu malware să funcționeze. Prin urmare, este o idee bună să vă mențineți întotdeauna actualizate la zi soluția de protecție cibernetică, aplicațiile și sistemele de operare. Exploatarea poate fi evitată prin rularea de software actualizat și prin utilizarea unei soluții de securitate fiabile și actualizate.

Regulile consacrate de securitate cibernetică sunt valabile ca întotdeauna, iar conștientizarea riscurilor este primul pas către o viață digitală mai sigură.