Veja como os hackers estão usando a esteganografia em ataques cibernéticos

Todos vocês já ouviram o conselho de que nunca devem abrir anexos de e-mail, a menos que saibam de onde eles vêm, e não ficaremos surpresos se alguns de vocês acharem isso um pouco estranho. Afinal, você sabe que, para comprometer seu computador, algum código deve ser executado e você sabe que esse código é executado por arquivos executáveis. À luz disso, você pode pensar que um humilde arquivo JPG, por exemplo, não faz mal a você. Você estaria errado.

O que é esteganografia?

O termo esteganografia vem das palavras gregas para "ocultar" e "escrever", e literalmente significa ocultar informações em dados não secretos. Quando se trata de segurança cibernética, a esteganografia se refere ao ato de incorporar códigos maliciosos em arquivos aparentemente benignos.

Os hackers podem incorporar malware em praticamente qualquer tipo de arquivo que você queira imaginar, incluindo imagens e vídeos. Com isso, eles não só têm mais probabilidade de enganar a vítima, como também têm uma chance melhor de escapar de qualquer produto de segurança que possa estar instalado no computador.

Não é uma técnica nova. De fato, em 2017, especialistas cunharam o termo "stegware" como um coletivo para ataques cibernéticos usando código malicioso incorporado em imagens e outros arquivos de mídia, mas é seguro dizer que, por mais inteligente e eficaz que seja, a esteganografia não é algo que os hackers use particularmente frequentemente. Isso ocorre principalmente porque ocultar códigos maliciosos em arquivos de aparência benigna não é fácil e requer um nível de sofisticação que a maioria dos cibercriminosos simplesmente não possui.

Esteganografia em ataques do mundo real

Dito isto, a esteganografia não é apenas uma teoria. Ao longo dos anos, houve alguns ataques que empregaram a técnica, e a mais recente foi descoberta no mês passado por pesquisadores da Kaspersky.

A campanha tem como alvo empresas industriais no Reino Unido, Alemanha, Japão e Itália e, por fim, distribui uma ferramenta chamada Mimikatz, que rouba credenciais de login do Windows. Muito provavelmente, o objetivo é usar as informações roubadas para se mover lateralmente dentro da rede comprometida e causar mais danos. Antes que eles possam fazer isso, no entanto, os bandidos precisam contrabandear Mimikatz no sistema, e fazem isso usando esteganografia.

O ataque começa com um email cuidadosamente criado e um arquivo do Excel anexado a ele. Os especialistas apontaram que as mensagens são personalizadas para cada alvo, o que mostra que os atacantes não estão interessados em atingir pessoas ou organizações aleatórias.

O arquivo do Excel aberto solicita à vítima que clique no botão "Ativar conteúdo" e, se o usuário cumprir, a planilha maliciosa executa as instruções da macro incorporada, que, por sua vez, abrem uma janela oculta do PowerShell e carregam um script.

O malware faz o download de um arquivo PNG de aparência inocente de um site de compartilhamento de imagens como Imgur ou ImgBox. Não há nada na imagem que possa levantar suspeitas e, por ser baixado de um recurso completamente legítimo, é improvável que você ative alertas de segurança.

Na realidade, no entanto, o arquivo de imagem contém um segundo script do PowerShell que é codificado em Base64 e criptografado. O malware extrai o script do arquivo PNG, descriptografa e decodifica e o executa em uma segunda janela do PowerShell. Seu objetivo é baixar e instalar o ladrão Mimikatz.

Ainda não está claro quem está por trás do ataque descrito por Kaspersky, mas é óbvio que quem quer que seja, sabe o que está fazendo. Só podemos esperar que poucos cibercriminosos sejam tão inteligentes e sofisticados quanto esses hackers.