Stegomalware вредоносное ПО Agent Tesla KNOTWEED XLoader Mimikatz NanoCore RAT утечка данных
Отправленный вам смешной мем может содержать в себе опасный вирус.
Эксперты по кибербезопасности Cyble Research Labs недавно сообщили о резком росте числа экземпляров ПО, использующих стеганографию. Такое ПО называется Stegomalware (стеговредоносное ПО). Стеганография — это метод сокрытия данных внутри текстового сообщения или медиафайла.
Стеганография является одним из самых труднообнаруживаемых методов распространения вредоносных программ. Stegomalware использует стеганографию изображений, чтобы избежать механизмов обнаружения антивирусного ПО и системы защиты.
За последние 90 дней было обнаружено более 1800 образцов вредоносных программ, распространяемых с помощью стеганографии изображений. Cуществует несколько известных семейств Stegomalware-программ, в том числе:
Knotweed ;
Веб-шеллы;
Инструменты для взлома Mimikatz , Rubeus;
NanoCore RAT ;
AgentTesla ;
XLoader .
Многочисленные экземпляры стеговредоносного ПО в связке JPG+EXE были замечены во время анализа переписки между несколькими субъектами угроз. Вредоносный исполняемый файл обычно маскируется под файл изображения, а затем внедряется в изображение с помощью стеганографии изображений.
Исследователи сообщили о двух атаках в конце июля 2022 года, совершенных неизвестными киберпреступниками. В атаках использовалась стеганография для доставки полезной нагрузки на устройства жертв.
Были сделаны различные отчеты об использовании APT-группами SFX-файлов в качестве способа атаки на системы ICS/SCADA с использованием зараженных DB-файлов.
Другие системы также могут быть атакованы с помощью этого вектора атаки. Исполняемый SFX-файл (самораспаковывающийся архив) содержит сжатые данные, которые можно распаковать в процессе реализации.
Также можно запускать сжатые файлы, заключенные в SFX-файл, что позволяет хакеру легко запускать вредоносное ПО с помощью этой техники.
.png)
Алгоритм работы стеговредоносного ПО
На примере ниже вредоносное ПО AgentTesla извлекается из JPG-файла после извлечения SFX-архива.
.png)
В результате извлечения вредоносного ПО можно напрямую использовать дополнительные возможности уклонения, объединяя его с легитимными процессами.
Эксперты порекомендовали применить следующие меры защиты:
Убедитесь, что вы осведомлены о последних используемых методах атак злоумышленников;
Убедитесь, что все ваши устройства защищены надежным антивирусным ПО;
Чтобы предотвратить утечку данных вредоносными или троянскими программами, отслеживайте маяк на сетевом уровне;
Проверяйте содержимое файла, а также необычные сигнатуры и свойства файлов при проверке подозрительных изображений;
Перед загрузкой любого файла проверяйте источник;
Пароли должны регулярно обновляться;
Проверяйте подлинность всех ссылок и вложений электронной почты, прежде чем открывать их;
Зараженные URL-адреса, распространяющие торренты и пиратское ПО, должны быть заблокированы;
Убедитесь, что системы сотрудников оснащены DLP-решением.