Así es como los hackers están usando la esteganografía en ataques cibernéticos
Todos han escuchado el consejo de que nunca deben abrir archivos adjuntos de correo electrónico a menos que sepan de dónde provienen, y no nos sorprenderá si algunos de ustedes lo encuentran un poco extraño. Después de todo, usted sabe que para que su computadora se vea comprometida, se debe ejecutar algún código, y sabe que el código se ejecuta mediante archivos ejecutables. A la luz de esto, podría pensar que un humilde archivo JPG, por ejemplo, no puede hacerle daño. Te equivocarías.
¿Qué es la esteganografía?
El término esteganografía proviene de las palabras griegas para "ocultar" y "escribir", y literalmente significa ocultar información en datos no secretos. Cuando se trata de ciberseguridad, la esteganografía se refiere al acto de incrustar código malicioso en archivos aparentemente benignos.
Los piratas informáticos pueden incrustar malware en casi cualquier tipo de archivo que desee imaginar, incluidas imágenes y videos. Con eso, no solo tienen más probabilidades de engañar a la víctima, sino que también tienen una mejor oportunidad de evadir cualquier producto de seguridad que pueda instalarse en la computadora.
No es una técnica nueva. De hecho, en 2017, los expertos acuñaron el término "stegware" como un colectivo para ataques cibernéticos que utilizan códigos maliciosos incrustados en imágenes y otros archivos multimedia, pero es seguro decir que, tan inteligente y efectivo como es, la esteganografía no es algo que los piratas informáticos usar particularmente a menudo. Esto se debe principalmente a que ocultar código malicioso en archivos de aspecto benigno no es fácil y requiere un nivel de sofisticación que la mayoría de los ciberdelincuentes simplemente no poseen.
Esteganografía en ataques del mundo real.
Dicho esto, la esteganografía no es solo una teoría. Con los años, ha habido algunos ataques que han empleado la técnica, y el último fue descubierto el mes pasado por investigadores de Kaspersky.
La campaña está dirigida a empresas industriales en el Reino Unido, Alemania, Japón e Italia y, en última instancia, distribuye una herramienta llamada Mimikatz, que roba las credenciales de inicio de sesión de Windows. Lo más probable es que el objetivo sea utilizar la información robada para moverse lateralmente dentro de la red comprometida y causar más daño. Sin embargo, antes de que puedan hacer eso, los delincuentes deben pasar de contrabando a Mimikatz en el sistema, y lo hacen usando esteganografía.
El ataque comienza con un correo electrónico cuidadosamente elaborado y un archivo de Excel adjunto. Los expertos señalaron que los mensajes están personalizados para cada objetivo, lo que demuestra que los atacantes no están interesados en atacar a personas u organizaciones aleatorias.
El archivo de Excel abierto le pide a la víctima que haga clic en el botón "Habilitar contenido", y si el usuario cumple, la hoja de cálculo maliciosa ejecuta las instrucciones de macro incrustadas, que, a su vez, abren una ventana oculta de PowerShell y cargan un script.
Luego, el malware descarga un archivo PNG de aspecto inocente de un sitio web para compartir imágenes como Imgur o ImgBox. No hay nada en la imagen que pueda levantar sospechas, y debido a que se descarga desde un recurso completamente legítimo, es poco probable que active alertas de seguridad.
En realidad, sin embargo, el archivo de imagen contiene un segundo script de PowerShell que está codificado y codificado en Base64. El malware extrae el script del archivo PNG, lo descifra y decodifica, y lo ejecuta en una segunda ventana de PowerShell. Su propósito es descargar e instalar el ladrón Mimikatz.
Todavía no está claro quién se sienta detrás del ataque descrito por Kaspersky, pero es obvio que quienesquiera que sean, saben lo que están haciendo. Solo podemos esperar que pocos ciberdelincuentes sean tan inteligentes y sofisticados como estos piratas informáticos.
