Els pirates informàtics utilitzen imatges per ocultar programari maliciós, desplegar Keylogger VIP i 0bj3ctivity Stealer

El Mura el Seguretat informàtica

Traduir a:

Els ciberdelinqüents estan portant les seves tàctiques de sigil al següent nivell mitjançant la incrustació de codi maliciós als fitxers d'imatge per oferir programari maliciós com VIP Keylogger i 0bj3ctivity Stealer, segons l'informe d'informació sobre amenaces d'HP Wolf Security per al tercer trimestre de 2024. Aquestes campanyes sofisticades exploten plataformes de confiança com Archive.org per distribuir programari maliciós evitant els mètodes de detecció tradicionals.

Taula de continguts

Com funciona l'atac: programari maliciós amagat a les imatges

Les campanyes comencen amb un correu electrònic de pesca dissenyat per enganyar les víctimes perquè obrin fitxers adjunts maliciosos . Aquests correus electrònics sovint imiten factures o ordres de compra per augmentar la credibilitat. Un cop obert, el fitxer adjunt activa un exploit per a la vulnerabilitat obsoleta de Microsoft Equation Editor ( CVE-2017-11882 ) per descarregar un fitxer VBScript.

La cadena d'atac

Correu electrònic de pesca : les víctimes reben un correu electrònic enganyós que conté fitxers adjunts maliciosos.
Execució de VBScript : el VBScript descarregat executa un script de PowerShell.
Recuperació d'imatges : PowerShell baixa una imatge d'Archive.org.
Extracció de codi maliciós : la imatge conté programari maliciós codificat en Base64 que s'extreu i es descodifica en un executable .NET.
Lliurament de càrrega útil : el carregador .NET instal·la la càrrega útil final de programari maliciós.

A la primera campanya, aquesta càrrega útil és VIP Keylogger, una eina dissenyada per capturar pulsacions de tecles, contingut del porta-retalls, captures de pantalla i credencials. A la segona campanya, la càrrega útil és 0bj3ctivity Stealer, un programari maliciós que roba informació.

Els kits de programari maliciós redueixen la barrera per als atacants

Les similituds entre les dues campanyes indiquen que els cibercriminals estan aprofitant els kits de programari maliciós. Aquests kits agilitzen el procés d'atac, reduint l'experiència tècnica necessària per executar cadenes d'infecció complexes. Aquesta tendència reflecteix la creixent mercantilització de la ciberdelinqüència, on les eines preconstruïdes faciliten fins i tot als atacants novells desplegar programari maliciós.

Tècniques addicionals en ús

HP Wolf Security també va identificar el contraban d'HTML com una tàctica complementària. Amb aquest mètode, els atacants ofereixen programari maliciós com el XWorm RAT mitjançant goters AutoIt ocults en fitxers HTML maliciosos. Alguns d'aquests fitxers es van generar amb eines GenAI, que mostren com s'utilitza la intel·ligència artificial per millorar el lliurament i l'ofuscament de programari maliciós.

Les campanyes de GitHub ofereixen el robatori de Lumma

Una altra campanya destacable va implicar l'ús de repositoris GitHub que es van plantejar com a fonts per a trucs i eines de modificació de videojocs. Aquests dipòsits van distribuir en secret programari maliciós Lumma Stealer mitjançant droppers basats en .NET, destacant com els atacants exploten plataformes populars per apuntar-se a usuaris desprevinguts.

Per què els atacs basats en imatges són amenaçadors

La incorporació de programari maliciós a les imatges és una tècnica coneguda com a esteganografia, que amaga codi maliciós en fitxers aparentment innòcus. Aquest mètode evita molts sistemes antivirus, que són menys propensos a examinar els fitxers d'imatge. L'ús de plataformes d'allotjament de confiança com Archive.org complica encara més els esforços de detecció.

Estratègies de mitigació per a organitzacions

Per defensar-se d'aquestes amenaces en evolució, les organitzacions haurien d'implementar les mesures següents:

Pedaços de vulnerabilitats conegudes : solucioneu vulnerabilitats de programari obsoletes com CVE-2017-11882.
Activa la detecció avançada d'amenaces : utilitzeu solucions capaces de detectar esteganografia i comportament sospitós de fitxers.
Educar els empleats : capacitar el personal per reconèixer els correus electrònics de pesca i evitar obrir fitxers adjunts inesperats.
Limitar l'accés a fonts de confiança : restringeix l'ús de plataformes d'intercanvi de fitxers als dominis aprovats.

La mercantilització creixent del cibercrim

A mesura que els kits de programari maliciós es fan més accessibles, els atacants de tots els nivells d'habilitat poden muntar cadenes d'infecció efectives. La integració d'eines d'IA en la creació de programari maliciós amplifica encara més el repte per als defensors de la ciberseguretat, fent que els atacs siguin més variats i més difícils d'atribuir.

Les troballes d'HP Wolf Security subratllen la urgència d'estar per davant d'aquestes amenaces en evolució. Mitjançant l'adopció d'estratègies de defensa proactives i el seguiment de les tàctiques emergents, les organitzacions poden protegir millor les seves xarxes contra aquestes campanyes sofisticades.

SpyHunter per a Windows d'EnigmaSoft ha aconseguit la certificació AV-TEST

Cerca

Canvia de regió