1 2 3 4 5 6

Atacantes adoptan esteganografía para ocultar comunicaciones

Threatpost 18-Nov-2015

Alentados por los patrones utilizados recientemente a mayor escala, los investigadores creen que la esteganografía digital ha surgido como un método usado por los atacantes para ocultar la comunicación de los servidores Command & Control.

En una presentación de Black Hat Europe, los investigadores de Crowdstrike y Dell SecureWorks citaron un grupo de campañas que dependían de la esteganografía, la cual ha florecido últimamente.

La esteganografía, o el arte de ocultar información dentro de otros medios, no es realmente un concepto nuevo, pero los investigadores aseguran que los programadores de malware y los operadores han retomado la técnica recientemente.

Pierre-Marc Bureau, un investigador senior en seguridad de Dell SecureWorks, y el doctor Christian Dietrich, un investigador senior de Crowdstrike, señalaron que uno de los ejemplos más recientes puede ser encontrado en una muestra de Foreign, una herramienta para la Denegación de Servicio Distribuido (DDoS) que ambos analizaron recientemente. Esta muestra oculta mensajes dentro de respuestas HTTP de error. La herramienta analiza la página, la cual parece ser, inicialmente, una página genérica de error 404, pero en realidad contiene un comando del servidor malicioso, irreconocible a primera vista.

El comando, codificado con Base64 y almacenado entre etiquetas de comentario de HTML, activa el equipo infectado (bot) para descargar un archivo de una URL dada.

La herramienta es la última entrega de un creciente conjunto de malware que sobresale en su técnica de comunicación con el C&C por medio de un canal furtivo.

Nuevamente, Bureau y Dietrich insisten en que la técnica no es del todo nueva, pero que el método se ha vuelto más complejo últimamente. También se discutió como las 3 familias de malware (Lurk, Gozi y Stegoloader) han aprovechado la técnica en años anteriores.

Lurk es un malware que descarga un software malicioso generador de clics, fue detectado en 2014 y ocultaba la URL en una imagen ".BMP" de donde tomaba contenido. Gozi, conocido por perpetrar fraude bancario, comenzó usando estenografía a comienzos de este año, como un mecanismo de respaldo para recuperar las URL empleadas de donde descarga su archivo de configuración. El malware cifra la información en un archivo favicon.ico alojado en TOR.

Los investigadores de SecureWorks describieron el malware Stegoloader, el cual opera de una manera similar a Lurk, a principios de este año. El malware se basa en un módulo de distribución que toma un archivo ".PNG" que contiene malware, una vez en el sistema, el malware es utilizado principalmente para robar información, pero también puede ser usado para cargar módulos adicionales que accedan a documentos, listar programas instalados, robar historial del navegador y descargar más malware para robar contraseñas, como Pony.

Fuente: Threatpost OS

Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT