Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
10.08.2022

Эксперты предупредили об опасности мемов

Эксперты по кибербезопасности Cyble Research Labs недавно сообщили о резком росте числа экземпляров ПО, использующих стеганографию. Такое ПО называется Stegomalware (стеговредоносное ПО). Стеганография — это метод сокрытия данных внутри текстового сообщения или медиафайла.

Стеганография является одним из самых труднообнаруживаемых методов распространения вредоносных программ. Stegomalware использует стеганографию изображений, чтобы избежать механизмов обнаружения антивирусного ПО и системы защиты.

За последние 90 дней было обнаружено более 1800 образцов вредоносных программ, распространяемых с помощью стеганографии изображений. Cуществует несколько известных семейств Stegomalware-программ, в том числе:

  • Knotweed ;
  • Веб-шеллы;
  • Инструменты для взлома Mimikatz , Rubeus;
  • NanoCore RAT ;
  • AgentTesla ;
  • XLoader .

Многочисленные экземпляры стеговредоносного ПО в связке JPG+EXE были замечены во время анализа переписки между несколькими субъектами угроз. Вредоносный исполняемый файл обычно маскируется под файл изображения, а затем внедряется в изображение с помощью стеганографии изображений.

Исследователи сообщили о двух атаках в конце июля 2022 года, совершенных неизвестными киберпреступниками. В атаках использовалась стеганография для доставки полезной нагрузки на устройства жертв.

Были сделаны различные отчеты об использовании APT-группами SFX-файлов в качестве способа атаки на системы ICS/SCADA с использованием зараженных DB-файлов.

Другие системы также могут быть атакованы с помощью этого вектора атаки. Исполняемый SFX-файл (самораспаковывающийся архив) содержит сжатые данные, которые можно распаковать в процессе реализации.

Также можно запускать сжатые файлы, заключенные в SFX-файл, что позволяет хакеру легко запускать вредоносное ПО с помощью этой техники.


Алгоритм работы стеговредоносного ПО

На примере ниже вредоносное ПО AgentTesla извлекается из JPG-файла после извлечения SFX-архива.


В результате извлечения вредоносного ПО можно напрямую использовать дополнительные возможности уклонения, объединяя его с легитимными процессами.

Эксперты порекомендовали применить следующие меры защиты:

  • Убедитесь, что вы осведомлены о последних используемых методах атак злоумышленников;
  • Убедитесь, что все ваши устройства защищены надежным антивирусным ПО;
  • Чтобы предотвратить утечку данных вредоносными или троянскими программами, отслеживайте маяк на сетевом уровне;
  • Проверяйте содержимое файла, а также необычные сигнатуры и свойства файлов при проверке подозрительных изображений;
  • Перед загрузкой любого файла проверяйте источник;
  • Пароли должны регулярно обновляться;
  • Проверяйте подлинность всех ссылок и вложений электронной почты, прежде чем открывать их;
  • Зараженные URL-адреса, распространяющие торренты и пиратское ПО, должны быть заблокированы;
  • Убедитесь, что системы сотрудников оснащены DLP-решением.