Så här använder hackare steganografi i cyberattacker

Du har alla hört råden om att du aldrig ska öppna bilagor till e-post om du inte vet var de kommer ifrån, och vi blir inte förvånade om några av er tycker att det är lite konstigt. När allt kommer omkring, vet du att för att få din dator kompromissa måste en del kod köras och du vet att koden körs av körbara filer. Mot bakgrund av detta kanske du tror att en ödmjuk JPG-fil till exempel inte kan göra dig någon skada. Du skulle ha fel.

Vad är steganografi?

Termen steganografi kommer från de grekiska orden "dölja" och "skriva", och det betyder bokstavligen att gömma information i icke-hemliga data. När det gäller cybersäkerhet hänvisar steganografi till att inbygga skadlig kod i till synes godartade filer.

Hackare kan bädda in skadlig programvara i nästan alla typer av filer du vill tänka dig, inklusive bilder och videor. Med det är de inte bara mer benägna att lura offret, utan de har också en bättre bild av att undvika alla säkerhetsprodukter som kan installeras på datorn.

Det är inte en ny teknik. Faktum är att 2017 tappade experter uttrycket "stegware" som ett kollektiv för cyberattacker med skadlig kod inbäddad i bilder och andra mediefiler, men det är säkert att säga att så smart och lika effektivt som det är, steganografi inte är något som hackarna använda särskilt ofta. Detta beror främst på att dölja skadlig kod i godartade filer är inte lätt och kräver en nivå av sofistikering som de flesta cyberbrottslingar helt enkelt inte har.

Steganografi i verkliga attacker

Med det sagt är steganografi inte bara en teori. Under åren har det varit några attacker som använde tekniken, och den senaste upptäcktes förra månaden av forskare från Kaspersky.

Kampanjen riktar sig till industriföretag i Storbritannien, Tyskland, Japan och Italien, och i slutändan distribuerar den ett verktyg som heter Mimikatz, som stjäl Windows-inloggningsuppgifter. Målet är troligtvis att använda informationen för att flytta i sidled inom det komprometterade nätverket och orsaka mer skada. Innan de kan göra det måste dock skurkarna smuggla Mimikatz på systemet, och de gör det med steganografi.

Attacken börjar med en noggrant utformad e-post och en Excel-fil bifogad den. Experterna påpekade att meddelandena anpassas för varje mål, vilket visar att angriparna inte är intresserade av att slå slumpmässiga människor eller organisationer.

Den öppnade Excel-filen ber offret att klicka på knappen "Aktivera innehåll" och om användaren följer kör det skadliga kalkylbladet den inbäddade makroinstruktionen, som i sin tur öppnar ett doldt PowerShell-fönster och laddar ett skript.

Malwaren laddar ner en oskyldig PNG-fil från en bilddelningswebbplats som Imgur eller ImgBox. Det finns inget om bilden som kan väcka misstänksamhet, och eftersom den laddas ner från en helt legitim resurs är det osannolikt att det kommer att utlösa några säkerhetsvarningar.

I verkligheten innehåller emellertid bildfilen ett andra PowerShell-skript som är Base64-kodat och krypterat. Det skadliga programmet extraherar skriptet från PNG-filen, dekrypterar och avkodar det och kör det i ett andra PowerShell-fönster. Syftet är att ladda ner och installera Mimikatz stealer.

Det är ännu inte klart vem som sitter bakom den attack som beskrivs av Kaspersky, men det är uppenbart att vem de än är, de vet vad de gör. Vi kan bara hoppas att få cyberbrottslingar är lika smarta och sofistikerade som dessa hackare är.