Autor
Hay una campaña activa que envia archivos de audio .wav por correo, webs de descargas de música...
Una nueva campaña de ataques que esconde código malicioso en archivos .wav fue descubierto por investigadores.
Algunos de los archivos WAV infectados reproducen música sin errores, mientras que otros solo generan ruido.
Los archivos WAV se observó que contenían un componente para descodificar y el programa malicioso se encontraba por medio de los datos de audio. Esos archivos puede ser distribuídos mediante correos o páginas web de descarga haciéndose pasar por contenido pirateado.
Análisis de la campaña:
La campaña distribuye 2 payloads, XMRig Monero CPU miner(Un código que mina criptomonedas) y un código de Metasploit para establecer una consola remota.
El descubrimiento de esos dos payloads en el mismo entorno puede golpear con ganancia financiera y acceso remoto a la red de la víctima.
Esta campaña utiliza estenografía, el proceso de esconder un archivo en otro archivo para evadir detección. El código malicioso está escondido en el archivo de audio utilizando la técnica del Bit Menos Significativo (LSB). El uso de estenografía y otras técnicas de codificación en esta campaña la hacen difícil de detectar. El análisis muestra que los loaders usados son de tres tipos distintos-Uno que utiliza estenografría basada en Bit Menos Significante(LSB) para decodificar y ejecutar un archivo PE(.exe), uno que decodifica el archivo PE para su ejecución utilizando un algoritmo rand(), y otro que decodifica Shellcode para su ejecución utilizando un algoritmo rand(). El uso de estos tres loaders y los dos payloads indica un gran nivel de innovación en esta campaña de ataques.
"Cualquier método permite al atacante ejecutar código desde otro archivo con extensión benigna. Estas técnicas demuestran que el contenido ejecutable puede ser ocultado en archivos con cualquier extensión, tras observar que el atacante no estropea la estructura y el funcionamiento del formato contenedor" dicen los investigadores.
Atribución:
Los investigadores encontraron coincidencias entre la autoría de estos ataques y los de Waterbug/Turla. Pero, existe la posibilidad de diferentes actores reutilizando el loader disponible públicamente. También podría ser intencionado para evadir atribución directa según los investigadores.
Fuente: https://cyware.com/news/musical-malware-how-attackers-are-spreading-malicious-wav-audio-files-c345e314
|
 |
Bienvenido(a), Visitante. Por favor Ingresar o Registrarse ¿Perdiste tu email de activación?. |
En línea
