Χάκερ που χρησιμοποιούν αρχεία ήχου WAV για να εισάγουν κακόβουλο λογισμικό και κρυπτοminers

Οι χάκερ εξελίσσονται με τον καιρό. Βρίσκουν νέους τρόπους για να εισάγουν κακόβουλο λογισμικό στα συστήματα. Ένα πρόσφατο εύρημα της Blackberry Cylance στην καμπάνια του για κακόβουλο λογισμικό, αποκαλύπτει ότι οι χάκερ χρησιμοποιούν αρχεία ήχου WAV για να κρύψουν κακόβουλους κώδικες που είναι χαρακτηριστικό παράδειγμα στεγανογραφίας.

Προς ενημέρωσή σας, η Steganography είναι μια τεχνική που χρησιμοποιείται από χάκερ για την απόκρυψη κακόβουλων προγραμμάτων σε ένα αρχείο που φαίνεται κανονικό έξω αλλά φέρει έναν κακόβουλο κώδικα μέσα. Με τη βοήθεια αυτών των αρχείων, οι χάκερ παρακάμπτουν εύκολα το τείχος προστασίας ασφαλείας του συστήματος. Στο παρελθόν, οι χάκερ χρησιμοποιούν συνήθως για να στοχεύουν εκτελέσιμες μορφές αρχείων και αρχεία εικόνας.

Αλλά στην ανακάλυψη κακόβουλου λογισμικού από την Blackberry Cylance, οι εισβολείς του κυβερνοχώρου χρησιμοποιούν αρχεία ήχου WAV για να κρύψουν το κακόβουλο λογισμικό που ονομάζεται XMRrig. Σύμφωνα με την αναφορά του Cylance, τα αρχεία WAV εισάγουν ένα στοιχείο φορτωτή που προορίζεται για την αποκωδικοποίηση και την εκτέλεση εντολών για να ενεργήσουν κακόβουλοι κώδικες.

Οι ερευνητές ασφαλείας ανακάλυψαν αργότερα ότι τα ωφέλιμα φορτία Metasploit και XMRrig καθιστούν τον υπολογιστή του θύματος διαθέσιμο για εξόρυξη κρυπτογράφησης. Μέσω αυτού του θύματος οι υπολογιστές του θύματος γίνονται ευάλωτοι σε απειλές.

Ο Josh Lemos, Αντιπρόεδρος Έρευνας και Ευφυΐας στο BlackBerry Cylance είπε ότι «αυτό είναι το πρώτο περιστατικό όπου χάκερ έχουν κάνει χρήση κακόβουλου λογισμικού εξόρυξης χρησιμοποιώντας Steganography. Ωστόσο, η χρήση αρχείων ήχου δεν είναι η πρώτη φορά από χάκερ. Η χρήση αρχείων ήχου για την απόκρυψη κακόβουλου λογισμικού είχε επίσης επιχειρηθεί στο παρελθόν».

Ανάγνωση -Πρώην μηχανικός της Yahoo χακάρισε 6.000 λογαριασμούς αναζητώντας γυμνά

«Κάθε αρχείο WAV συνδυάστηκε με ένα στοιχείο φόρτωσης για την αποκωδικοποίηση και την εκτέλεση κακόβουλου περιεχομένου που υφαίνεται κρυφά στα δεδομένα ήχου του αρχείου», λέει η αναφορά. «Κατά την αναπαραγωγή, ορισμένα από τα αρχεία WAV παρήγαγαν μουσική που δεν είχε ορατά προβλήματα ποιότητας ή δυσλειτουργίες. Άλλοι απλώς παρήγαγαν στατικό (λευκό θόρυβο).»

Οι ερευνητές εξήγησαν περαιτέρω ότι «υπό την προϋπόθεση ότι ο εισβολέας δεν καταστρέφει τη δομή και την επεξεργασία της μορφής του κοντέινερ. Η υιοθέτηση αυτής της στρατηγικής εισάγει ένα επιπλέον επίπεδο συσκότισης, επειδή ο υποκείμενος κώδικας αποκαλύπτεται μόνο στη μνήμη, καθιστώντας την ανίχνευση πιο δύσκολη».

Τον Ιούνιο του τρέχοντος έτους, τέτοιο κακόβουλο λογισμικό παρατηρήθηκε για πρώτη φορά όταν η Turla, μια ρωσική ομάδα κατασκοπείας στον κυβερνοχώρο, χρησιμοποιούσε αρχεία WAV για να εισάγει κακόβουλο λογισμικό από τους διακομιστές της στους υπολογιστές. Υπεύθυνη ήταν και η Τούρλατροποποίηση του Chrome και του Firefox για την παρακολούθηση της κυκλοφορίας ιστού TLS.

Όπου τα περιστατικά Steganography έχουν παρατηρηθεί πολλές φορές στο παρελθόν με μορφές εικόνας όπως PNG και JPEG, αυτή είναι η πρώτη φορά που η Steganography χρησιμοποιείται για να αποφύγει τον εντοπισμό κακόβουλου λογισμικού.

Σύμφωνα με τον Cylance, η απόδοση των επιθέσεων αυτού του μήνα στην ομάδα απειλών Turla είναι δύσκολη, καθώς οποιοσδήποτε παράγοντας απειλής θα μπορούσε να χρησιμοποιήσει παρόμοια κακόβουλα εργαλεία και TTP.

Οι ειδικοί στον κυβερνοχώρο έχουν προτείνει ότι είναι δύσκολο να εξαλειφθεί πλήρως η Στεγανογραφία. Ως εκ τούτου, οι χρήστες θα πρέπει να παραμείνουν σε εγρήγορση και προσοχή κατά τη λήψη τυχόν αρχείων ήχου από μη ασφαλείς ιστότοπους.