Отправленный вам смешной мем может содержать в себе опасный вирус.
Эксперты по кибербезопасности Cyble Research Labs недавно сообщили о резком росте числа экземпляров ПО, использующих стеганографию. Такое ПО называется Stegomalware (стеговредоносное ПО). Стеганография — это метод сокрытия данных внутри текстового сообщения или медиафайла.
Стеганография является одним из самых труднообнаруживаемых методов распространения вредоносных программ. Stegomalware использует стеганографию изображений, чтобы избежать механизмов обнаружения антивирусного ПО и системы защиты.
За последние 90 дней было обнаружено более 1800 образцов вредоносных программ, распространяемых с помощью стеганографии изображений. Cуществует несколько известных семейств Stegomalware-программ, в том числе:
Многочисленные экземпляры стеговредоносного ПО в связке JPG+EXE были замечены во время анализа переписки между несколькими субъектами угроз. Вредоносный исполняемый файл обычно маскируется под файл изображения, а затем внедряется в изображение с помощью стеганографии изображений.
Исследователи сообщили о двух атаках в конце июля 2022 года, совершенных неизвестными киберпреступниками. В атаках использовалась стеганография для доставки полезной нагрузки на устройства жертв.
Были сделаны различные отчеты об использовании APT-группами SFX-файлов в качестве способа атаки на системы ICS/SCADA с использованием зараженных DB-файлов.
Другие системы также могут быть атакованы с помощью этого вектора атаки. Исполняемый SFX-файл (самораспаковывающийся архив) содержит сжатые данные, которые можно распаковать в процессе реализации.
Также можно запускать сжатые файлы, заключенные в SFX-файл, что позволяет хакеру легко запускать вредоносное ПО с помощью этой техники.
Алгоритм работы стеговредоносного ПО
На примере ниже вредоносное ПО AgentTesla извлекается из JPG-файла после извлечения SFX-архива.
В результате извлечения вредоносного ПО можно напрямую использовать дополнительные возможности уклонения, объединяя его с легитимными процессами.
Эксперты порекомендовали применить следующие меры защиты:
Разбираем кейсы, делимся опытом, учимся на чужих ошибках