Cibercriminalii s-au orientat rapid către o nouă tehnică de evaziune, ca urmare a represiunii recente de către Microsoft a atașamentelor de e-mail rău intenționate. La doar câteva săptămâni după ce Outlook a început să blocheze fișierele Scalable Vector Graphics (SVG), atacatorii ascund acum malware în datele pixelilor imaginilor Portable Network Graphics (PNG), o metodă cunoscută sub denumirea de steganografie.
Cercetătorii de securitate de la Huntress au identificat schimbarea ca parte a unei campanii mai ample „ClickFix”, care folosește inginerii de protecție socială. Prin încorporarea codului criptat în anumite canale de culoare de imagini aparent inofensive, actorii amenințărilor pot evita instrumentele standard de detectare care scanează amenințările bazate pe scripturi.
În ciuda „Operation Endgame”, o acțiune coordonată de aplicare a legii care vizează infrastructura botnetului la începutul acestei luni, campania rămâne foarte activă. Domeniile active care găzduiesc noile momeli bazate pe PNG continuă să distribuie infostealer-ul Rhadamanthys, ceea ce sugerează rezistența grupului împotriva eforturilor de eliminare.
From Thefts. Steganography Shift
Atacatorii abandonează sau completează scripturile SVG bazate pe XML în favoarea steganografiei PNG bazate pe pixeli. Această schimbare tactică se corelează direct cu decizia din octombrie a Microsoft de a bloca imaginile SVG în linie în Outlook pentru a combate phishing-urile.
Spre deosebire de SVG-urile, care se bazează pe scripturi bazate pe text ușor de semnalat prin filtre, noua metodă ascunde coduri rău intenționate în interiorul datelor vizuale ale imaginii în sine.
Folosind o structură personalizată a algoritmului de încărcare a imaginii, reîncărcarea standard a imaginii. Descriind mecanismele noului sistem de livrare a încărcăturii, Ben Folland și Anna Pham, cercetători de la Huntress, explic că „codul rău intenționat este codificat direct în datele pixelilor imaginilor PNG, bazându-se pentru a reconstrui și a decripta canalul de culoare specific.”
Odată extrasă, sarcina utilă este decriptată în memorie, ocolind mecanismele de detectare bazate pe disc. Astfel de căi de execuție numai pentru memorie sunt deosebit de eficiente împotriva sistemelor EDR (Endpoint Detection and Response), care monitorizează în primul rând scrierile de fișiere pe disc.
Păstrând codul rău intenționat efemer și volatil, atacatorii reduc semnificativ fereastra pentru captura criminalistică. Evidențiind provocările criminalistice prezentate de această tehnică, cercetătorii Huntress observă că „o descoperire notabilă în timpul analizei a fost utilizarea steganografiei de către campanie pentru a ascunde etapele finale de malware într-o imagine.”
În cele din urmă, un ansamblu.NET este încărcat reflectorizant pentru a injecta sarcina utilă în `explorer.exe`. Încredere
Folosind o tehnică numită „ClickFix”, atacul imită o eroare Windows legitimă sau un ecran de actualizare. Victimelor li se prezintă o interfață falsă „Windows Update” care pare să se blocheze sau să eșueze. Pentru a „remedia” problema, utilizatorii sunt instruiți să deschidă caseta de dialog Windows Run (Win+R) și să lipească o comandă.
Ocolind în întregime exploatările tehnice, această tehnică folosește o lacună low-tech în comportamentul utilizatorului. Subliniind bariera scăzută de intrare pentru acest exploit, cercetătorii Huntress evidențiază simplitatea acestei abordări.
JavaScript încorporat în pagina Naluci populează automat clipboard-ul cu comanda rău intenționată. Astfel de tactici eludează controalele de securitate ale browserului, cum ar fi SmartScreen, care semnalează de obicei descărcări rău intenționate, dar nu execuția manuală a comenzii.
Pentru a atenua acest vector specific, administratorii pot dezactiva caseta Run prin
