Técnica que oculta informações roubadas em imagens cai no gosto dos crackers

Durante a análise de diversas campanhas de espionagem e crimes virtuais, os pesquisadores da Kaspersky Lab identificaram uma nova tendência preocupante: hackers estão usando cada vez mais a esteganografia, a versão digital de uma técnica antiga para ocultar mensagens em imagens de modo a encobrir as pistas de sua atividade maliciosa no computador invadido.

Recentemente, foram descobertas várias operações de malware voltadas à espionagem virtual e diversos exemplos de malwares criados para roubar informações financeiras que utilizam essa técnica.

Da mesma forma que nos ataques virtuais direcionados típicos, o agente da ameaça, depois de invadir a rede atacada, se estabelece e coleta informações valiosas para depois transferi-las para o servidor de comando e controle (C&C). Na maioria dos casos, as soluções de segurança confiáveis ou as análises de segurança feitas por profissionais são capazes de identificar a presença do agente da ameaça na rede em cada estágio do ataque, inclusive durante a extração de dados. Isso porque, durante a extração, são deixados rastros, como o registro de conexões com um endereço IP desconhecido ou incluído em listas negras. No entanto, quando se usa a esteganografia, a tarefa de detectar a extração de dados torna-se complicada.

Nesse cenário, os usuários maliciosos inserem as informações que serão roubadas diretamente no código de um arquivo comum de imagem ou de vídeo, que é então enviado para o servidor C&C. Dessa forma, é pouco provável que esse evento acione qualquer alarme de segurança ou tecnologia de proteção de dados. Após a modificação pelo invasor, a própria imagem não é alterada visualmente; seu tamanho e a maioria dos outros parâmetros também permanecem iguais e, assim, ela não seria motivo de preocupação. Isso torna a esteganografia um método lucrativo para os agentes mal-intencionados como opção de extração de dados de uma rede invadida.

Nos últimos meses, os pesquisadores da Kaspersky Lab observaram pelo menos três operações de espionagem virtual que utilizam essa técnica. E, mais preocupante, ela também está sendo ativamente adotada por criminosos virtuais regulares, além dos agentes de espionagem virtual. Os pesquisadores da Kaspersky Lab detectaram sua utilização em versões atualizadas de cavalos de Troia como o Zerp, ZeusVM, Kins, Triton e outros. A maioria dessas famílias de malware, de modo geral, visa organizações financeiras e usuários de serviços financeiros. Isso pode ser um indício da iminente adoção dessa técnica em grande escala pelos criadores de malware, o que tornaria a detecção do malware mais complexa.

“Embora não seja a primeira vez que observamos uma técnica maliciosa originalmente usada por agentes de ameaças sofisticadas encontrar espaço no cenário do malware convencional, o caso da esteganografia é especialmente importante. Até o momento, não foi descoberta uma forma segura de detectar a extração de dados conduzida dessa maneira. As imagens usadas pelos invasores como ferramenta de transporte das informações roubadas são muito grandes e, embora haja algoritmos que poderiam indicar o uso da técnica, sua implementação em grande escala exigiria enorme capacidade de computação e seus custos seriam proibitivos”, explica Alexey Shulmin, pesquisador de segurança da Kaspersky Lab.

Por outro lado, observa o pesquisador, é relativamente fácil identificar uma imagem “carregada” com dados sigilosos roubados pela análise manual. Esse método, no entanto, tem limitações, pois um analista de segurança seria capaz de analisar um número muito limitado de imagens. “Talvez a resposta esteja na mistura dos dois. Na Kaspersky Lab, usamos uma associação de tecnologias de análise automatizada com o conhecimento humano para identificar e detectar esses ataques. Contudo, essa área ainda deve ser aperfeiçoada, e o objetivo de nossas investigações é chamar a atenção do setor para a questão e impor o desenvolvimento de tecnologias confiáveis, mas financeiramente viáveis, que permitam a identificação da esteganografia nos ataques de malware”, completa Shulmin.

Fonte: Computer World

Alerta: imagens podem conter malware

malwareStegoloader oculta código malicioso em arquivos PNG para roubar arquivos, informações e senhas.

Criado em 2012, o Trojan Stegoloader ressurgiu nos últimos meses. Ele esconde seu código malicioso em arquivos de imagem PNG, usando a esteganografia (técnica de esconder informações dentro de outros arquivos) para escapar das defesas dos computadores e redes. O malware fez das organizações de saúde americanas seu alvo primário.

De acordo com um relatório recente da Dell SecureWorks, o Stegoloader foi projetado para roubar arquivos, informações e senhas de sistemas infectados – possuindo módulos adicionais para ter sua funcionalidade estendida.

Durante o processo de infecção do Trojan, um componente temporário de implementação baixa arquivos PNG da internet. Mesmo funcionais, eles escondem entre seus pixels pequenas partes de código criptografado que são extraídas e usadas para reconstruir o módulo principal do malware – que, junto às imagens, não é salvo no disco. Ao invés disso, todo o processo ocorre na memória do computador, onde o Trojan é diretamente carregado.

O uso de componentes “fileless” vê seu uso se popularizando entre criadores de malware nos últimos anos, incluindo grupos de ciberespionagem, por tornaram as ameaças mais difíceis de serem detectadas e investigadas.

A esteganografia como método para ocultar códigos maliciosos também não é novidade, mas vem sendo mais aplicada. A meta é desviar do escaneamento de malware que faz a inspeção do conteúdo que entra e sai das redes.

De acordo com estatísticas do fornecedor de antivírus Trend Micro, nos últimos três meses as infecções Stegoloader foram detectadas em empresas dos setores de saúde, financeiro e manufatureiro. Mais de 66% das vítimas eram americanas.

“De maneira notável, todas as organizações de saúde afetadas pelo malware são radicadas na região da América do Norte”, indicaram os pesquisadores do Trend Micro. “Houveram violações bem sucedidas que expuseram milhões de arquivos de consumidores em organizações como a Anthem e Premera Blue Cross. Embora ainda não tenha sido vista em ataques, a esteganografia pode se tornar uma nova técnica usada pelos cibercriminosos para violar o setor de saúde, expondo seus registros”.

Tanto os especialistas da Dell SecureWorks quanto os Do Trend Micro acreditam que a prática de acoplar código malicioso dentro de arquivos de imagem é uma tendência crescente que deve se popularizar entre os agressores no futuro.

Agradecemos ao Davi e ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!