HTCinside


Хакери, използващи WAV аудио файлове за инжектиране на злонамерен софтуер и Cryptominers

Хакерите се развиват с времето. Те намират нови начини за инжектиране на зловреден софтуер в системите. Неотдавнашно откритие на Blackberry Cylance в неговата кампания за злонамерен софтуер разкрива, че хакерите използват WAV аудио файлове, за да скрият злонамерени кодове, което е типичен пример за стеганография.

За ваша информация стеганографията е техника, използвана от хакери за скриване на зловреден софтуер във файл, който изглежда нормално отвън, но носи злонамерен код вътре. С помощта на тези файлове хакерите лесно заобикалят защитната стена на системата. В миналото хакерите обикновено използват за насочване изпълними файлове и файлови формати с изображения.

Но при откриването на зловреден софтуер от Blackberry Cylance, кибер нападателите използват WAV аудио файлове, за да скрият зловреден софтуер, наречен XMRrig. Според доклада на Cylance WAV файловете инжектират компонент за зареждане, който е предназначен за декодиране и изпълнение на команди за действие на злонамерени кодове.

Изследователите по сигурността по-късно установиха, че полезните натоварвания на Metasploit и XMRrig правят компютъра на жертвата достъпен за крипто копаене. Чрез това компютрите на жертвата стават уязвими на заплахи.

Джош Лемос, вицепрезидент по изследванията и разузнаването в BlackBerry Cylance каза, че „това е първият инцидент, при който хакерите са използвали зловреден софтуер за копаене, използвайки Steganography. Използването на аудио файлове обаче не е за първи път от хакери. Използването на аудио файлове за прикриване на злонамерен софтуер също беше опитвано преди.

Прочети -Бивш инженер на Yahoo хакна 6000 акаунта, търсейки голи тела

„Всеки WAV файл беше съчетан с компонент за зареждане за декодиране и изпълнение на злонамерено съдържание, тайно вплетено в аудио данните на файла“, се казва в доклада. „При възпроизвеждане някои от WAV файловете произвеждаха музика, която нямаше забележими проблеми с качеството или проблеми. Други просто генерират статичен шум (бял шум).“



Изследователите допълнително обясниха, че „при условие, че атакуващият не повреди структурата и обработката на формата на контейнера. Възприемането на тази стратегия въвежда допълнителен слой на объркване, тъй като основният код се разкрива само в паметта, което прави откриването по-предизвикателно“

През юни тази година подобен зловреден софтуер беше забелязан за първи път, когато Turla, руска кибершпионска група, използваше WAV файлове, за да инжектира зловреден софтуер от своите сървъри в компютри. Turla също беше отговорен замодифициране на Chrome и Firefox за проследяване на TLS уеб трафик.

Докато инциденти със стеганография са наблюдавани много пъти преди с формати на изображения като PNG и JPEG, това е първият път, когато стеганографията се използва за избягване на откриването на анти-зловреден софтуер.

Според Cylance е трудно да се припишат атаките от този месец на групата за заплахи Turla, тъй като всеки участник в заплаха може да използва подобни злонамерени инструменти и TTP.

Кибер експерти предполагат, че е трудна задача да се изкорени стеганографията напълно. Поради това потребителите трябва да бъдат нащрек и внимателни, докато изтеглят всякакви аудио файлове от несигурни уебсайтове.