Nedavno je identifikovana sofisticirana kampanja malicioznog softvera koja koristi steganografske tehnike, a cilja na korisnike putem naizgled nevinih JPEG slikovnih datoteka.
Napad koristi skriveni maliciozni kod ugrađen u slikovne datoteke koji, kada se izvrše, pokreće složeni lanac događaja dizajniranih da ukradu osjetljive informacije iz sistema žrtava.
Ova nova prijetnja predstavlja zabrinjavajuću evoluciju u metodama distribucije malicioznog softvera, kombinujući društveni inženjering s naprednim tehnikama zamagljivanja.
Napad počinje tako što su žrtve namamljene da preuzmu ono što se čini kao standardni JPEG fajl.
Međutim, ove slike sadrže skrivene maliciozne skripte koje se konvencionalnim mjerama sigurnosti ne mogu otkriti.
Kada se pristupi kompromitovanoj datoteci, ugrađeni kod se aktivira tiho u pozadini.
Analitičari Broadcoma otkrili su da maliciozni softver koristi proces infekcije u više faza koji počinje ekstrahiranjem skrivenog tereta iz datoteke slike.
„Steganografska tehnika koja se koristi u ovoj kampanji je posebno sofisticirana, što čini otkrivanje izazovnim za tradicionalne sigurnosne alate“, naveli su istraživači u svojoj tehničkoj analizi.
Nakon izvršenja, maliciozni softver cilja na skladišta kredencijala u pretraživačima, klijentima e-pošte i FTP aplikacijama.
Izvučeni podaci se zatim eksfiltriraju na servere za komandu i kontrolu dok se preuzimaju dodatni korisni podaci, uključujući prilagođene verzije poznatih familija infostealer-a kao što su Vidar, Raccoon i Redline.
Analiza napada
Autori malicioznog softvera su koristili napredne tehnike zamagljivanja , uključujući base64 kodiranje unutar PowerShell skripti kako bi izbjegli otkrivanje.
Početna skripta, nakon što je izdvojena iz JPEG datoteke, koristi Windows Script Host za izvršavanje komandi uz minimalnu vidljivost.
Identifikovani maliciozni kod uključuje upute za prikupljanje kredencijala iz više pretraživača, sa specifičnim funkcijama koje ciljaju datoteke kolačića, sačuvane lozinke i podatke obrazaca.
Zaštita od ove prijetnje dostupna je kroz nekoliko sigurnosnih proizvoda , sa specifičnim potpisima za otkrivanje uključujući ACM.Ps-Base64!g1, ISB.Downloader!gen80 i Heur.AdvML.B.
Korisnicima se savjetuje da budu oprezni kada preuzimaju slikovne datoteke iz nepouzdanih izvora i osiguraju da njihova sigurnosna rješenja budu ažurirana najnovijim definicijama.
Izvor: CyberSecurityNews
