Investigadores de seguridad de BlackBerry Cylance han descubierto una nueva campaña de malware que se está aprovechando de técnicas de esteganografía para esconder código malicioso en archivos WAV.
Es decir, archivos de audio con música, otras grabaciones o simplemente ruido blanco que al ser reproducidos ejecutan contenido malicioso inyectado de forma secreta dentro de sus datos. La estéganografía no es para nada algo nuevo, pero hasta ahora quienes la usaban con fines maliciosos escondían el código en imágenes.
La esteganografía se ha usado por años como un vehículo para saltarse medidas de seguridad, ya que al esconder código malicioso en archivos no ejecutables como las imágenes PNG o JPEG, se puede transferir malware sin que que lo adviertan las soluciones de seguridad.
Se está poniendo de moda
El reporte de Blackberry Cylance es el segundo informe importante sobre una campaña de malware que está abusando de archivos WAV. En junio de 2019, investigadores de Symantec dijeron haber detectado a un grupo de ciberespías rusos haciendo lo mismo.
Mientras que la campaña rusa se trataba de toda una operación nacional de ciberespionaje, la detectada ahora por Cylance está siendo usada en una operación de minado de criptomonedas de las que tanto abundan estos días.
Los cibercriminales esconden DLLs dentro de los archivos WAV, cuando un equipo ya infectado con malware pasa a descargar y reproducir el archivo WAV, empieza a extraer el DLL bit a bit para después ejecutarlo e instalar un _cryptominer_ llamado XMRrig.
No solo parece ser primera vez que archivos WAV están siendo usados para esconder malware usando la esteganografía, sino que también es primera vez que un malware de criptominado está aprovechándose de la esteganografía, otra muestra de lo rápido que se están sofisticando en la materia.
Sin embargo, la esteganografía como tal no es el problema, ni tampoco los formatos de archivos que son vulnerables de ser explotados por ella. Las recomendaciones de los expertos siguen siendo el impedir en primer lugar las infecciones con malware que son el punto de entrada para poder ejecutar el código malicioso en estos archivos. Después de todo, el anfitrión necesita haber sido infectado antes para que un malware pueda ejecutar el código escondido en una imagen o una canción.
Ver todos los comentarios en https://www.genbeta.com
VER 5 Comentarios