Chiến dịch malware steganographic gần đây sử dụng các tệp JPEG để phân phối nhiều loại malware lấy cắp thông tin. Dưới đây là những thông tin chính và khuyến nghị dựa trên thông tin mới nhất:
Chi tiết chính của cuộc tấn công
- Kỹ thuật steganographic:
Malware sử dụng steganography để ẩn các script và executables độc hại trong các tệp hình ảnh JPEG. Kỹ thuật này bao gồm việc thay đổi giá trị pixel trong tệp hình ảnh để mã hóa dữ liệu độc hại, làm cho nó khó phát hiện bằng các biện pháp bảo mật truyền thống. - Cơ chế phân phối:
Cuộc tấn công bắt đầu khi người dùng không nghi ngờ tải xuống hoặc xem một tệp JPEG bị xâm nhập. Tệp hình ảnh bị nhiễm chứa các script và executables độc hại được nhúng, được trích xuất thông qua các quy trình tự động khi hình ảnh được xử lý bởi thiết bị của nạn nhân. - Trích xuất payload:
Các script độc hại nhúng không hiển thị trực tiếp trong tiêu đề hoặc metadata của tệp hình ảnh. Thay vào đó, phần lõi của malware được ẩn trong các trường dữ liệu pixel có vẻ vô hại đối với các thư viện xử lý hình ảnh tiêu chuẩn. Các bộ giải mã tùy chỉnh nhúng trong script loader của malware được sử dụng để đọc các cụm pixel cụ thể và khôi phục các script executable từ các dòng byte mã hóa. - Hoạt động độc hại:
Khi được thực thi, malware nhắm đến các kho dữ liệu xác thực trong trình duyệt, ứng dụng email và ứng dụng FTP. Dữ liệu trích xuất được gửi ra các máy chủ chỉ huy và kiểm soát (C2), trong khi các payload bổ sung được tải xuống, bao gồm các phiên bản tùy chỉnh của các họ malware lấy cắp thông tin đã biết như Vidar, Raccoon và Redline.
Chi tiết kỹ thuật
- Mã Python:
Một ví dụ về đoạn mã Python được sử dụng trong việc giải mã payload đã được cung cấp - Kỹ thuật làm mờ nâng cao:
Các tác giả của malware sử dụng các kỹ thuật làm mờ nâng cao, bao gồm mã hóa base64 trong các script PowerShell để né tránh phát hiện. Script ban đầu, sau khi được trích xuất từ tệp JPEG, sử dụng Windows Script Host để thực thi các lệnh với độ hiển thị tối thiểu.
Biện pháp phát hiện và bảo vệ
- Sản phẩm bảo mật:
Symantec đã phát hiện mối đe dọa này và cung cấp bảo vệ thông qua các hệ thống phát hiện dựa trên thích ứng, bao gồm các chỉ báo như ACM.Ps-Base64g1 và ACM.Ps-Wscrg1.
Sản phẩm VMware Carbon Black chặn các chỉ báo độc hại liên quan bằng cách thực thi các chính sách ngăn cản việc thực thi các chương trình đã biết, nghi ngờ và có thể không mong muốn.
Phát hiện dựa trên tệp bao gồm các định danh như CL.Downloaderaat171 và ISB.Downloadergen80, trong khi các hệ thống dựa trên máy học đánh dấu các mối đe dọa như Heur.AdvML.B. - Khuyến nghị:
Người dùng được khuyên nên cẩn thận khi tải xuống tệp, đặc biệt là từ các nguồn không đáng tin cậy, và đảm bảo rằng phần mềm bảo mật của họ luôn được cập nhật với các định nghĩa mối đe dọa mới nhất.
Các tổ chức nên triển khai các chính sách bảo mật toàn diện bao gồm lọc email, giám sát mạng và đào tạo nhân viên về các phương pháp tốt nhất trong an ninh mạng để bảo vệ hiệu quả chống lại các cuộc tấn công malware steganographic.
Bằng cách hiểu những chi tiết này và thực hiện các biện pháp bảo mật hiệu quả, cá nhân và tổ chức có thể giảm thiểu rủi ro liên quan đến chiến dịch malware steganographic tinh vi này.
