Uso de archivos de audio WAV para ocultar y entregar backdoors

  • 0 Respuestas
  • 376 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Conectado Dragora

  • *
  • Moderador Global
  • Mensajes: 1423
  • Actividad:
    100%
  • Country: gt
  • Reputación 17
  • La resistencia es inútil, serás absorbido.
    • Ver Perfil

Otras variantes de este método inyectaban el malware ocultando sus cargas útiles en archivos de imagen JPEG o PNG usando esteganografía, técnica muy utilizada por los actores de amenazas para ocultar el malware, por lo que resulta curioso que este grupo de hackers haya elegido entregar sus cargas útiles usando archivos de audio maliciosos.



En junio pasado, los especialistas en forense digital de la firma Symantec detectaron a una célula de Turla, grupo de hackers respaldado por el Kremlin (también conocidos como Venomous Bear o Wterburg) entregando a las víctimas la carga útil que contenía el backdoor Metasploit Meterpreter usando una pista de audio en formato WAV.

Ahora, los investigadores han descubierto que un método de esteganografía idéntico es usado para infectar dispositivos con el software de minado XMRig y código de reverse shell Metasploit. “Estos archivos formato WAV se combinan con un poderoso componente para decodificar y ejecutar el contenido malicioso, que está oculto entre los datos del archivo de audio”, mencionan los expertos.

Al ser reproducidos se podía apreciar un archivo de música aparentemente convencional, mientras otras muestras recolectadas contenían sólo estática. Al ser analizados minuciosamente los expertos detectaron las cargas útiles de Metasploit y XMRig: “Los hackers planeaban una operación de cryptojacking y conexión inversa de alcance considerable”, añaden los expertos.

Durante el análisis, los expertos en forense digital detectaron que las cargas útiles eran decodificadas y ejecutadas de tres formas distintas:

- Usando cargadores que emplean esteganografía de bit menos significativo (LSB) para decodificar y ejecutar un archivo PE

- Cargadores que emplean un algoritmo de decodificación basado en rand () para decodificar y ejecutar un archivo PE

- Con cargadores que emplean un algoritmo de decodificación basado en rand () para decodificar y ejecutar shellcode

Cualquiera de estos tres métodos permite a los actores de amenazas ocultar de forma exitosa las cargas útiles dentro de cualquier archivo, sólo deben evitar corromper la estructura y el procesamiento del formato contenedor. Además, al implementar este enfoque se agrega una nueva capa de ofuscación, pues el código subyacente sólo se revela en la memoria, haciendo que la carga útil sea muy difícil de detectar.

Aunque este método de ataque es el mismo usado por el grupo de hackers Turla, los expertos en forense digital del Instituto Internacional de Seguridad Cibernética (IICS) consideran que sería un tanto precipitado atribuir todos estos ataques al mismo grupo, ya que prácticamente cualquier hacker podría usar herramientas y métodos similares.


Vía: https://noticiasseguridad.com

 

Algoritmos para engañar a algoritmos

Iniciado por Dragora

Respuestas: 0
Vistas: 516
Último mensaje Agosto 06, 2020, 12:46:02 am
por Dragora
"Estar preparados para la ciberguerra"

Iniciado por graphixx

Respuestas: 0
Vistas: 2985
Último mensaje Febrero 16, 2016, 08:03:52 pm
por graphixx
GOOGLE ASSISTANT | El asistente personal para Android de Google

Iniciado por CNait

Respuestas: 1
Vistas: 3171
Último mensaje Noviembre 07, 2016, 04:26:11 am
por Stiuvert
Chrome Dev Editor, el IDE de Google para programar desde Chrome

Iniciado por Flemon

Respuestas: 0
Vistas: 3241
Último mensaje Julio 27, 2014, 12:45:58 pm
por Flemon
EK presenta sus bloques full cover para las AMD RX 5700 y RX 5700 XT con D-RGB

Iniciado por Dragora

Respuestas: 0
Vistas: 281
Último mensaje Noviembre 13, 2019, 11:08:32 am
por Dragora