Malware escondido sobre imagem era usado para ataques
Existem cada vez mais formas sobre como malware pode propagar-se nos sistemas, e uma das técnicas que parece ter vindo a ser cada vez mais usada encontra-se na capacidade de esconder conteúdo malicioso em algo tão simples como uma imagem.
Parece ter sido isso exatamente o que um grupo de espionagem aparenta ter feito. De acordo com os investigadores da empresa de segurança Symantec, um grupo conhecido como Witchetty terá usado imagens de fundo do Windows, com o logótipo do sistema, para distribuir malware em vários sistemas.
Segundo os investigadores, as atividades do grupo aumentaram entre Fevereiro e Setembro de 2022, sendo que os ataques eram na sua maioria direcionados a empresas especificas. Os mais recentes foram contra duas empresas do Médio-oriente e uma empresa de stocks em África, que foram atacadas por um malware conhecido como “Stegmap”.
Para realizar este ataque, foi usada uma técnica conhecida como Esteganografia, uma técnica em que se esconde mensagens em documentos aparentemente vulgares. Neste caso, a técnica foi aplicada para implementar malware em algo tão vulgar como uma foto.
O malware encontrava-se numa simples foto de fundo do Windows, que estava até alojada no GitHub, mas que aparentemente nada mais era do que uma simples imagem. No entanto, sobre o código da mesma, encontrava-se o malware que teria como objetivo infetar os sistemas onde o conteúdo era executado.
Os investigadores acreditam que os atacantes terão usado o GitHub para distribuir o conteúdo visto que isso elimina a necessidade de ter uma fonte externa para descarregar o conteúdo, ao mesmo tempo que também dá mais legitimidade ao ataque – uma vez que o domínio da plataforma é algo que pode ser acedido normalmente em várias situações.
Uma vez tendo os alvos em mira, os atacantes procediam com as tentativas de envio da imagem para os sistemas internos, e caso fosse realizado com sucesso, os atacantes passariam a ter controlo dos sistemas internos da empresa.
Acredita-se que, em algumas das entidades atacadas, os mesmos terão permanecido nos sistemas internos por mais de seis meses, antes das atividades terem sido identificadas e neutralizadas. Durante este período foram recolhidas várias informações internas.