Ha surgido una operación de malware esteganográfico recientemente identificada, que utiliza archivos de imágenes JPEG como mecanismo de entrega encubierto para múltiples cepas de malware de robo de contraseñas.
Los investigadores de seguridad han descubierto que este sofisticado ataque aprovecha la práctica de ocultar cargas útiles maliciosas dentro de archivos de imágenes aparentemente inofensivos, explotando la esteganografía, una técnica históricamente utilizada para ocultar mensajes o contenido dentro de artefactos digitales.
Este método ha permitido a los actores de amenazas evadir los mecanismos de detección tradicionales y distribuir malware de manera eficiente en los sistemas específicos.
Los investigadores de seguridad de SEQRITE han revelado que el ataque comienza cuando usuarios desprevenidos descargan o ven un archivo JPEG comprometido en su sistema.
Normalmente disfrazado de contenido legítimo, el archivo de imagen infectado contiene ejecutables y scripts maliciosos incrustados.
Estas cargas útiles se extraen mediante procesos automatizados cuando la imagen es procesada por el dispositivo de la víctima.
Los analistas de SEQRITE señalaron que el malware incrustado en los archivos JPEG se centra principalmente en la recolección de credenciales, dirigiéndose a navegadores, clientes de correo electrónico y aplicaciones FTP para extraer datos confidenciales del usuario.
Lo que distingue a este ataque es la complejidad de su mecanismo de ejecución.
Los scripts maliciosos incrustados no son directamente visibles en el encabezado o los metadatos del archivo de imagen.
En cambio, el núcleo del malware está oculto en campos de datos de píxeles que parecen inofensivos para las bibliotecas de procesamiento de imágenes estándar.
Una vez ejecutados, estos scripts inician una cadena de ataque que descarga cargas útiles adicionales, incluidas herramientas personalizadas para robar contraseñas como Vidar, Raccoon y Redline.
Estas herramientas se especializan en recopilar información de inicio de sesión almacenada en bases de datos de aplicaciones, explotar vulnerabilidades y transmitir datos robados a servidores de comando y control (C2).
A nivel técnico, la esteganografía permite modificar los valores de píxeles en el archivo de imagen JPEG para codificar datos maliciosos.
La extracción se logra mediante decodificadores personalizados integrados en el script del cargador del malware.
Por ejemplo, los atacantes emplean ejecutables de Python y C++ para leer grupos de píxeles específicos y reconstruir scripts ejecutables a partir de flujos de bytes codificados.
A continuación se muestra un ejemplo de un fragmento de Python utilizado para decodificar la carga útil:
En un ataque de este tipo, se extrae el archivo JPEG codificado antes y después de la carga maliciosa, lo que resalta sutiles alteraciones a nivel de píxeles.
