Malware, seguridad digital En algunas imágenes hay más de lo que parece: su fachada aparentemente inocente puede enmascarar una amenaza siniestra. 02 de abril de 2024 • , 4 min. leer El software de ciberseguridad se ha vuelto bastante capaz de detectar archivos sospechosos y, dado que las empresas son cada vez más conscientes de la necesidad de mejorar su postura de seguridad con capas adicionales de protección, se ha vuelto necesario recurrir a subterfugios para evadir la detección. En esencia, cualquier software de ciberseguridad es lo suficientemente potente como para detectar la mayoría de los archivos maliciosos. Por lo tanto, los actores de amenazas buscan continuamente diferentes formas de evadir la detección, y entre esas técnicas se encuentra el uso de malware oculto en imágenes o fotografías. Malware escondido en imágenes Puede parecer descabellado, pero es bastante real. El malware colocado dentro de imágenes de varios formatos es el resultado de la esteganografía, la técnica de ocultar datos dentro de un archivo para evitar su detección. ESET Research descubrió que esta técnica estaba siendo utilizada por el grupo de ciberespionaje Worok, que ocultaba código malicioso en archivos de imágenes y solo tomaba información de píxeles específica de ellos para extraer una carga útil para ejecutar. Sin embargo, tenga en cuenta que esto se hizo en sistemas ya comprometidos, ya que, como se mencionó anteriormente, ocultar malware dentro de imágenes se trata más de evadir la detección que del acceso inicial. La mayoría de las veces, las imágenes maliciosas están disponibles en sitios web o se colocan dentro de documentos. Algunos quizás recuerden el adware: código oculto en los banners publicitarios. Por sí solo, el código de la imagen no se puede ejecutar, ejecutar ni extraer por sí solo mientras está incrustado. Se debe entregar otra pieza de malware que se encargue de extraer el código malicioso y ejecutarlo. Aquí el nivel de interacción del usuario requerido es variado y la probabilidad de que alguien note una actividad maliciosa parece depender más del código involucrado en la extracción que de la imagen misma. Los bits menos (más) significativos Una de las formas más tortuosas de incrustar código malicioso en una imagen es reemplazar el bit menos significativo de cada valor rojo-verde-azul-alfa (RGBA) de cada píxel con una pequeña pieza. del mensaje. Otra técnica consiste en incrustar algo en el canal alfa de una imagen (que indica la opacidad de un color), utilizando sólo una porción razonablemente insignificante. De esta manera, la imagen parece más o menos igual a una normal, lo que hace que cualquier diferencia sea difícil de detectar a simple vista. Un ejemplo de esto fue cuando las redes de publicidad legítimas publicaron anuncios que potencialmente conducían al envío de un banner malicioso desde un servidor comprometido. Se extrajo código JavaScript del banner, aprovechando la vulnerabilidad CVE-2016-0162 en algunas versiones de Internet Explorer, para obtener más información sobre el objetivo. Podría parecer que ambas imágenes son iguales, pero una de ellas incluye código malicioso en el canal alfa de sus píxeles. Observe cómo la imagen de la derecha está extrañamente pixelada. (Fuente: ESET Research) Las cargas útiles maliciosas extraídas de imágenes podrían usarse para diversos fines. En el caso de la vulnerabilidad de Explorer, el script extraído verificó si se estaba ejecutando en una máquina monitoreada, como la de un analista de malware. De lo contrario, se redirige a la página de inicio de un kit de explotación. Después de la explotación, se utilizó una carga útil final para distribuir malware como puertas traseras, troyanos bancarios, software espía, ladrones de archivos y similares. De izquierda a derecha: imagen limpia, imagen con contenido malicioso y la misma imagen maliciosa mejorada para resaltar el código malicioso (Fuente: ESET Research) Como puede ver, la diferencia entre una imagen limpia y una maliciosa es bastante pequeña. Para una persona normal, la imagen maliciosa podría verse ligeramente diferente y, en este caso, el aspecto extraño podría atribuirse a una mala calidad y resolución de la imagen, pero la realidad es que todos esos píxeles oscuros resaltados en la imagen de la derecha son un signo de código maligno. No hay motivo para entrar en pánico. Quizás se pregunte, entonces, si las imágenes que ve en las redes sociales podrían albergar códigos peligrosos. Tenga en cuenta que las imágenes cargadas en sitios web de redes sociales suelen estar muy comprimidas y modificadas, por lo que sería muy problemático para un actor de amenazas ocultar en ellas código totalmente conservado y funcional. Esto quizás sea obvio cuando comparas cómo aparece una foto antes y después de subirla a Instagram; por lo general, existen claras diferencias de calidad. Lo más importante es que la ocultación de píxeles RGB y otros métodos esteganográficos sólo pueden representar un peligro cuando los datos ocultos son leídos por un programa que puede extraer el código malicioso y ejecutarlo en el sistema. Las imágenes se utilizan a menudo para ocultar malware descargado desde servidores de comando y control (C&C) para evitar la detección por parte del software de ciberseguridad. En un caso, un troyano llamado ZeroT, a través de documentos Word infestados adjuntos a correos electrónicos, se descargó en las máquinas de las víctimas. Sin embargo, esa no es la parte más interesante. Lo interesante es que también descargó una variante de PlugX RAT (también conocido como Korplug), que utiliza esteganografía para extraer malware de una imagen de Britney Spears. En otras palabras, si está protegido contra troyanos como ZeroT, entonces no necesita preocuparse tanto por el uso de la esteganografía. Finalmente, cualquier código de explotación que se extraiga de imágenes depende de que haya vulnerabilidades presentes para una explotación exitosa. Si sus sistemas ya están parcheados, no hay posibilidad de que el exploit funcione; por lo tanto, es una buena idea mantener siempre actualizados su ciberprotección, sus aplicaciones y sus sistemas operativos. La explotación mediante kits de exploits se puede evitar ejecutando software completamente parcheado y utilizando una solución de seguridad actualizada y confiable. Se aplican las mismas reglas de ciberseguridad de siempre, y la concienciación es el primer paso hacia una vida más cibersegura.