Злоумышленники вооружились «улучшенной» стеганографией

Обнаружены атаки с использованием Polyglot-изображений для сокрытия вредоносного ПО.

Исследователи компании Devcon обнаружили новую вредоносную кампанию, в ходе которой для сокрытия вредоносного ПО злоумышленники используют довольно необычную технику – Polyglot-изображения. Технику Polyglot легко спутать со стеганографией, но у них есть одно существенное различие. Стеганография предполагает сокрытие вредоносного кода в графическом изображении путем манипуляций с пикселями. Человеческий глаз не может уловить изменения в некоторых пикселях, и вредонос остается незамеченным. Для осуществления атаки также требуется дополнительный, отдельный от изображения JavaScript-код, способный обнаружить модифицированные пиксели и собрать из них вредоносный код.

В случае с Polyglot вредоносный файл может быть изображением и JavaScript-кодом одновременно, поэтому для извлечения вредоноса никаких дополнительных скриптов не требуется. Для создания файла, способного быть одновременно и графическим изображением, и скриптом, злоумышленники используют хитрую уловку, основывающуюся на том, как компьютер интерпретирует эти два совершенно разных типа файлов.

Атака Polyglot основывается на том, что браузер запускает только код внутри изображения и игнорирует весь остальной контент. То есть, интерпретатор браузера игнорирует данные изображения и запускает только строку полезной нагрузки.

По словам исследователей, злоумышленники распространяют вредоносное ПО в BMP-изображениях, замаскированных под безобидную рекламу. После загрузки в браузере изображение превращается в зашифрованное сообщение, смысл которого становится понятен, если прогнать его через дешифратор, поставляемый вместе с изображением.

Вредоносный контент распространяется через сеть доставки контента Cloudfront от Amazon Web Services. Предназначением URL является перенаправление пользователей со страницы, которую они изначально посетили, на страницу с лотереей наподобие «Колеса фортуны».