Зловред маскируется в музыке

Киберпреступники активно осваивают все новые способы распространения вредоносного ПО. Очередной их находкой стала стеганография. Этот метод подразумевает «вплетение» битов кода одного файла в код другого. Если быть точным, то атаки с использованием стеганографии вовсе не новы, хакеры практикуют их уже на протяжении десятилетия, но все это время в роли «контейнеров» для скрытой информации использовались исключительно файлы изображений, как правило, форматов JPEG и PNG. Теперь же киберпреступники освоили передачу вредоносного ПО посредством аудиофайлов WAV.

На протяжении лета и начала осени специалисты по кибербезопасности зафиксировали сразу два подобных прецедента. Сначала исследователи компании Symantec обнаружили, что хакеры группировки Turla используют WAV-файлы для тайной передачи вредоносного кода на уже скомпрометированные ими системы жертв. Затем, несколько дней назад, эксперты BlackBerry Cylance установили, что неизвестные злоумышленники задействуют файлы WAV для передачи и последующей установки на инфицированные устройства майнера криптовалюты XMRrig. Уже имеющийся на этих устройствах зловред бит за битом выделяет из WAV-файла вплетенный вредоносный код и затем запускает его. Серьезная разница меду этими случаями заключается лишь в том, что Turla считается весьма продвинутой группировкой, сосредоточенной на кибершпионских акциях, а тайным майнингом криптовалюты на системах жертв промышляют и вполне рядовые хакеры. Это говорит о том, что даже злоумышленникам со сравнительно низкой квалификацией становится доступным такой изощренный метод атак, как стеганография.

Исследователи полагают, что защищаться от стеганографии как таковой невозможно, да и не нужно. Вредоносный код может быть вплетен в любые медиа-файлы таких форматов, как JPEG, PNG, BMP, WAV, GIF, WebP или TIFF. Файлы этих форматов не являются исполняемыми и не проверяются защитными решениями. Их полная блокировка приведет лишь к хаосу всей глобальной сети, львиную долю которой составляет медиа-контент. Но сами по себе медиа-файлы со встроенным в них вредоносным кодом не могут взломать систему. Для их приема, декодирования и последующего запуска вредоносного содержимого система уже должна быть скомпрометирована. Именно на первичных точках проникновения киберпреступников и следует сосредоточиться, чтобы обезопасить себя от атак – в том числе и стеганографических.

Источник: ZDNet