Investigadores de
Blackberry Cylance Threat han descubierto recientemente código malicioso
ofuscado dentro de archivos de audio en formato WAV. Al parecer, los archivos
WAV incorporaban ocultos droppers para decodificar y ejecutar posteriormente
código malicioso.
La implementación del
código malicioso conseguía, en la mayoría de ocasiones, no corromper las
estructuras fundamentales del archivo, permitiendo su reproducción sin anomalía
reseñable o pérdida de calidad. En algunos casos, el código malicioso provocaba
colateralmente que el contenido reproducido fuera ruido blanco.
El análisis de los
investigadores revelaba que el código malicioso estaba relacionado con el
minero XMRig Monero. También se han hallado evidencias en los archivos
maliciosos de código directamente relacionado con el famoso framework de
explotación Metasploit. Concretamente, el código encontrado se encargaba de
generar una conexión reversa y entregar una shell al atacante.
Los droppers de los
archivos maliciosos encargados de decodificar y llamar posteriomente al minero,
son clasificados, fundamentalmente, en tres grupos según los investigadores:
- Aquellos que
emplean esteganografía de tipo LSB (Least Significant Bit) para ejecutar
un archivo portable.
- Otros que
emplean un algoritmo de decodificación basado en un método de
aleatorización rand() para decodificar y ejecutar un archivo portable.
- Finalmente,
muestras que emplean un algoritmo de decodificación basado en un método de
aleatorización rand() para decodificar y ejecutar una shellcode.
La variedad de
aproximaciones válidas para la inyección de estos payloads demuestra la
viabilidad de la esteganografía como vector de infección a través del
ocultamiento de código ejecutable en prácticamente cualquier tipo de archivo
siempre que el atacante sea capaz de no corromper la estructura fundamental del
contenedor.
A continuación se
listan algunas de las firmas SHA-256 de los archivos implicados, para su
comprobación y estudio en VirusTotal:
·
595A54F0BBF297041CE259461AE8A12F37FB29E5180705EAFB3668B4A491CECC
·
DB043392816146BBE6E9F3FE669459FEA52A82A77A033C86FD5BC2F4569839C9
·
A2923D838F2D301A7C4B46AC598A3F9C08358B763B1973B4B4C9A7C6ED8B6395
·
843CD23B0D32CB3A36B545B07787AC9DA516D20DB6504F9CDFFA806D725D57F0
·
7DC620E734465E2F5AAF49B5760DF634F8EC8EEAB29B5154CC6AF2FC2C4E1F7C
Más información y
detalles técnicos:
Fuente: Hispasec