Técnica que oculta informações roubadas em imagens cai no gosto dos crackers

Durante a análise de diversas campanhas de espionagem e crimes virtuais, os pesquisadores da Kaspersky Lab identificaram uma nova tendência preocupante: hackers estão usando cada vez mais a esteganografia, a versão digital de uma técnica antiga para ocultar mensagens em imagens de modo a encobrir as pistas de sua atividade maliciosa no computador invadido.

Recentemente, foram descobertas várias operações de malware voltadas à espionagem virtual e diversos exemplos de malwares criados para roubar informações financeiras que utilizam essa técnica.

Da mesma forma que nos ataques virtuais direcionados típicos, o agente da ameaça, depois de invadir a rede atacada, se estabelece e coleta informações valiosas para depois transferi-las para o servidor de comando e controle (C&C). Na maioria dos casos, as soluções de segurança confiáveis ou as análises de segurança feitas por profissionais são capazes de identificar a presença do agente da ameaça na rede em cada estágio do ataque, inclusive durante a extração de dados. Isso porque, durante a extração, são deixados rastros, como o registro de conexões com um endereço IP desconhecido ou incluído em listas negras. No entanto, quando se usa a esteganografia, a tarefa de detectar a extração de dados torna-se complicada.

Nesse cenário, os usuários maliciosos inserem as informações que serão roubadas diretamente no código de um arquivo comum de imagem ou de vídeo, que é então enviado para o servidor C&C. Dessa forma, é pouco provável que esse evento acione qualquer alarme de segurança ou tecnologia de proteção de dados. Após a modificação pelo invasor, a própria imagem não é alterada visualmente; seu tamanho e a maioria dos outros parâmetros também permanecem iguais e, assim, ela não seria motivo de preocupação. Isso torna a esteganografia um método lucrativo para os agentes mal-intencionados como opção de extração de dados de uma rede invadida.

Nos últimos meses, os pesquisadores da Kaspersky Lab observaram pelo menos três operações de espionagem virtual que utilizam essa técnica. E, mais preocupante, ela também está sendo ativamente adotada por criminosos virtuais regulares, além dos agentes de espionagem virtual. Os pesquisadores da Kaspersky Lab detectaram sua utilização em versões atualizadas de cavalos de Troia como o Zerp, ZeusVM, Kins, Triton e outros. A maioria dessas famílias de malware, de modo geral, visa organizações financeiras e usuários de serviços financeiros. Isso pode ser um indício da iminente adoção dessa técnica em grande escala pelos criadores de malware, o que tornaria a detecção do malware mais complexa.

“Embora não seja a primeira vez que observamos uma técnica maliciosa originalmente usada por agentes de ameaças sofisticadas encontrar espaço no cenário do malware convencional, o caso da esteganografia é especialmente importante. Até o momento, não foi descoberta uma forma segura de detectar a extração de dados conduzida dessa maneira. As imagens usadas pelos invasores como ferramenta de transporte das informações roubadas são muito grandes e, embora haja algoritmos que poderiam indicar o uso da técnica, sua implementação em grande escala exigiria enorme capacidade de computação e seus custos seriam proibitivos”, explica Alexey Shulmin, pesquisador de segurança da Kaspersky Lab.

Por outro lado, observa o pesquisador, é relativamente fácil identificar uma imagem “carregada” com dados sigilosos roubados pela análise manual. Esse método, no entanto, tem limitações, pois um analista de segurança seria capaz de analisar um número muito limitado de imagens. “Talvez a resposta esteja na mistura dos dois. Na Kaspersky Lab, usamos uma associação de tecnologias de análise automatizada com o conhecimento humano para identificar e detectar esses ataques. Contudo, essa área ainda deve ser aperfeiçoada, e o objetivo de nossas investigações é chamar a atenção do setor para a questão e impor o desenvolvimento de tecnologias confiáveis, mas financeiramente viáveis, que permitam a identificação da esteganografia nos ataques de malware”, completa Shulmin.

Fonte: Computer World

Google usa técnica que comprime imagens em 75% e melhora resolução

google_fotosA Google lançou um método de compressão que promete reduzir em até 75% a quantidade de dados gasta com o upload de imagens. Batizado de RAISR (Rapid and Accurate Image Super Resolution), a técnica usa a máquina de aprendizado da companhia para transformar fotos de baixa em alta resolução.

Como ela faz isso? Bem, normalmente o processo de escalonamento apenas adiciona mais pixels, o que visualmente parece ter mais qualidade mas carece de detalhes vívidos e intensos. O RAISR aprende com o sistema da empresa e encontra filtros aplicados em cada ponto da versão de pouca fidelidade e a otimiza. O resultado é algo bem próximo do original.

Essa tecnologia usa uma versão com apenas um quarto dos pixels e completa o restante. Esse processo consome três vezes menos a banda de internet e já está presente no app Google+ de alguns dispositivos com o sistema operacional Android deve se espalhar pelos outros produtos da gigante de Mountain View, como a Play Store, o YouTube e outros serviços.

Fonte: Tecmundo

Ransomware usa arquivos de imagem para roubar informações do usuário

ransomNa rotina de comportamento de um malware, é comum o aproveitamento de sites legítimos para comando e controle (C&C) de sistemas infectados, para assim, evitar a desconfiança de novos alvos.

Apesar da maioria dos ransomware enviarem as informações coletadas diretamente para os servidores específicos de C&C, existem algumas variantes que trabalham de forma diferente. O CuteRansomware, por exemplo, usa o Google Docs para passar informações do sistema comprometido para os atacantes.

A Trend Micro, verificou, no entanto, uma novidade dentro desta modalidade: o ransomware CryLocker (identificado como RANSOM_MILICRY.A) passou a distribuir ameaças no Imgur, site gratuito para hospedagem de imagens.

Esta é a primeira vez que a equipe de Pesquisa em Ameaças Futuras (FTR) da Trend Micro mapeia arquivos PNG (Portable Network Graphics) como transporte para informações coletadas em um sistema infectado.

O arquivo PNG também é usado pelo cibercriminoso para monitorar suas vítimas e, após reunir dados do usuário, este ransomware envia os arquivos para um álbum Imgur.

Os autores do ataque usam essa técnica principalmente para não serem detectados e para continuarem escondidos no sistema.

Método e análise da entrada

A Trend Micro analisou de perto os arquivos PNG importados para o site Imgur e, segundo os registros, as primeiras informações foram criptografadas no dia 25 de agosto.

No dia 5 de setembro deste ano, a Trend Micro flagrou a ação dos exploit kits Rig e Sundown. Os atacantes mudam o papel de parede do computador, colocando a imagem de um bilhete de resgate chamado “CryLocker”. Após esta publicação, o número total de informações roubadas de vítimas aumentou para 8 mil.

Com base na pesquisa da Trend Micro, o CryLocker muda a extensão do arquivo criptografado para *.CRY. Curiosamente, antes de deletar os arquivos originais, este ransomware cria cópias dos arquivos selecionados para que sejam criptografados. É possível recuperar os arquivos com ferramentas de recuperação de disco, mas o tamanho do arquivo não deve passar de 20MB.

O CryLocker também coleta as informações do ponto de acesso de WiFi do usuário (Mac, SSID, SS, etc.). Além disso, ele tenta obter a geolocalização ou a localização de navegação do usuário com o Google Maps Geolocation API.

O CryLocker também obtém o layout do teclado, por meio do uso do windows API, GetKeyboardLayoutList.

Melhores práticas

Os cibercriminosos geralmente aproveitam brechas de sites e serviços em nuvem legítimos para esconder sua identidade e suas operações. Neste caso, recomenda-se que serviços de hospedagem de imagem adicionem um passo no processo de upload para verificar se o arquivo de imagem é o que realmente parece ser. Isto significa que, se os arquivos PNG forem malformados, o sistema poderá identificá-los e rejeitá-los automaticamente.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Trend Micro blog

Imagens com códigos maliciosos podem infectar sites com Exploit

exploitsPesquisadores de segurança descobriram que hackers estão utilizando imagens com códigos maliciosos escondidos para atacar sites. A vulnerabilidade está no ImageMagick, uma biblioteca de processamento de imagem amplamente utilizada, suportada por linguagens como PHP, Ruby, NodeJS, Python. A biblioteca é utilizada por diversos meios de comunicação, sites e sistemas de gestão de conteúdo.

De acordo com o desenvolvedor e pesquisador de segurança Ryan Huber, a vulnerabilidade permite que as imagens forcem um servidor Web a executar códigos de um criminoso. Sites que usam ImageMagick e permitem aos usuários carregar imagens correm risco de ataques que poderiam comprometer completamente a sua segurança.

A ImageMagick reconheceu a falha e garantiu que está trabalhando para impedir a brecha de segurança. Por enquanto, a equipe trabalha para bloquear possíveis explorações.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fontes: Olhar Digital  e Engadget

Alerta: imagens podem conter malware

malwareStegoloader oculta código malicioso em arquivos PNG para roubar arquivos, informações e senhas.

Criado em 2012, o Trojan Stegoloader ressurgiu nos últimos meses. Ele esconde seu código malicioso em arquivos de imagem PNG, usando a esteganografia (técnica de esconder informações dentro de outros arquivos) para escapar das defesas dos computadores e redes. O malware fez das organizações de saúde americanas seu alvo primário.

De acordo com um relatório recente da Dell SecureWorks, o Stegoloader foi projetado para roubar arquivos, informações e senhas de sistemas infectados – possuindo módulos adicionais para ter sua funcionalidade estendida.

Durante o processo de infecção do Trojan, um componente temporário de implementação baixa arquivos PNG da internet. Mesmo funcionais, eles escondem entre seus pixels pequenas partes de código criptografado que são extraídas e usadas para reconstruir o módulo principal do malware – que, junto às imagens, não é salvo no disco. Ao invés disso, todo o processo ocorre na memória do computador, onde o Trojan é diretamente carregado.

O uso de componentes “fileless” vê seu uso se popularizando entre criadores de malware nos últimos anos, incluindo grupos de ciberespionagem, por tornaram as ameaças mais difíceis de serem detectadas e investigadas.

A esteganografia como método para ocultar códigos maliciosos também não é novidade, mas vem sendo mais aplicada. A meta é desviar do escaneamento de malware que faz a inspeção do conteúdo que entra e sai das redes.

De acordo com estatísticas do fornecedor de antivírus Trend Micro, nos últimos três meses as infecções Stegoloader foram detectadas em empresas dos setores de saúde, financeiro e manufatureiro. Mais de 66% das vítimas eram americanas.

“De maneira notável, todas as organizações de saúde afetadas pelo malware são radicadas na região da América do Norte”, indicaram os pesquisadores do Trend Micro. “Houveram violações bem sucedidas que expuseram milhões de arquivos de consumidores em organizações como a Anthem e Premera Blue Cross. Embora ainda não tenha sido vista em ataques, a esteganografia pode se tornar uma nova técnica usada pelos cibercriminosos para violar o setor de saúde, expondo seus registros”.

Tanto os especialistas da Dell SecureWorks quanto os Do Trend Micro acreditam que a prática de acoplar código malicioso dentro de arquivos de imagem é uma tendência crescente que deve se popularizar entre os agressores no futuro.

Agradecemos ao Davi e ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!