Hackeři používající zvukové soubory WAV k vložení malwaru a kryptominů

Hackeři se postupem času vyvíjejí. Hledají nové způsoby, jak do systémů zavést malware. Nedávné zjištění Blackberry Cylance ve své malwarové kampani odhaluje, že hackeři používají zvukové soubory WAV ke skrytí škodlivých kódů, což je typický příklad steganografie.

Pro vaši informaci, Steganografie je technika používaná hackery ke skrytí malwaru v souboru, který navenek vypadá normálně, ale uvnitř obsahuje škodlivý kód. S pomocí těchto souborů hackeři snadno obcházejí bezpečnostní firewall systému. V minulosti se hackeři obvykle zaměřovali na formáty spustitelných souborů a obrázků.

Ale při objevení malwaru Blackberry Cylance využívají kybernetičtí útočníci zvukové soubory WAV ke skrytí malwaru zvaného XMRrig. Podle zprávy Cylance soubory WAV vloží komponentu zavaděče, která je určena k dekódování a provádění příkazů pro jednání škodlivých kódů.

Bezpečnostní výzkumníci později zjistili, že užitečné zatížení Metasploit a XMRrig zpřístupňuje počítač oběti pro těžbu kryptoměn. Prostřednictvím této oběti se počítače stávají zranitelnými vůči hrozbám.

Josh Lemos, viceprezident výzkumu a inteligence v BlackBerry Cylance řekl, že „toto je první incident, kdy hackeři využili těžební malware pomocí steganografie. Použití zvukových souborů však není prvním případem hackerů. Už dříve se také zkoušelo použití zvukových souborů pro skrytí malwaru.“

Přečtěte si -Bývalý inženýr Yahoo hacknul 6 000 účtů a hledal akty

„Každý soubor WAV byl spojen se zavaděčem pro dekódování a spouštění škodlivého obsahu tajně vetkaného do zvukových dat souboru,“ uvádí zpráva. „Při přehrávání některé soubory WAV produkovaly hudbu, která neměla žádné rozeznatelné problémy s kvalitou nebo závady. Jiné jednoduše generovaly statickou elektřinu (bílý šum).

Výzkumníci dále vysvětlili, že „za předpokladu, že útočník nepoškodí strukturu a zpracování formátu kontejneru. Přijetí této strategie zavádí další vrstvu zmatku, protože základní kód je odhalen pouze v paměti, takže detekce je náročnější.“

Letos v červnu byl takový malware poprvé zaznamenán, když Turla, ruská kyberšpionážní skupina, používala soubory WAV k injektování malwaru ze svých serverů do počítačů. Turla byl také zodpovědný zaúprava prohlížeče Chrome a Firefox pro sledování webového provozu TLS.

Tam, kde byly incidenty steganografie již mnohokrát pozorovány u obrazových formátů jako PNG a JPEG, je to poprvé, kdy je steganografie použita k vyhnutí se detekci anti-malwaru.

Podle Cylance je připisování útoků z tohoto měsíce skupině hrozeb Turla obtížné, protože jakýkoli aktér ohrožení by mohl používat podobné škodlivé nástroje a TTP.

Kybernetičtí experti navrhli, že je těžký úkol zcela vymýtit steganografii. Uživatelé by proto měli zůstat ostražití a opatrní při stahování jakýchkoli zvukových souborů z nezabezpečených webových stránek.