Спецпроекты

Хакеры спрятали майнер криптовалюты Monero в аудиофайлы WAV

Безопасность Стратегия безопасности Техника

Второй раз за год эксперты обнаруживают использование аудиофайлов для стеганографического сокрытия вредоносных компонентов. Этим обеспечивается дополнительный уровень обфускации.

Шум или музыка? - Вредонос

Эксперты компании BlackBerry Cylance обнаружили серию кибератак, в ходе которых вредоносный код был скрыт в аудиофайлах с расширением .WAV. С помощью таких файлов распространялись бэкдоры и криптомайнеры Monero.

Использование стеганографии - когда вредоносный код прячется в файлах неисполняемых и, в целом, совершенно безобидных форматов, - довольно распространённый приём для обхода защитных средств на целевой системе. Чаще всего киберзлоумышленники используют графические файлы - JPEG или PNG. Использование файлов WAV, однако, встречается всего лишь второй раз.

«Каждый файл WAV дополнен загрузчиком, который декодирует и запускает вредоносный контент, скрытно вплетённый в аудиоданные, - указывается в исследовании Cylance. - При проигрывании некоторые из файлов WAV воспроизводили музыку без сколько-нибудь заметных сбоев или различимых проблем с качеством. Другие просто воспроизводили статику (белый шум)».

monero1600.jpg
Злоумышленники распространяют бэкдоры и криптомайнеры Monero в аудиофайлах .WAV

Впервые применение подобной методики отметили эксперты Symantec в июне 2019 г.: APT-группировка Turla использовала файлы WAV для распространения бэкдора Meterpreter из общедоступного набора Metasploit.

Не Turla?

В случае с атаками, выявленными Cylance, аудиофайлы использовались для доставки криптомайнеров и кода из Metasploit, предназначенного для создания обратного shell-соединения для удалённого управления заражённой системой.

По данным Cylance, загрузчики использовали три разных метода для декодирования и запуска вредоносного содержимого. Первый использова LSB-стеганографию, два других - алгоритмы на базе rand(). Вредоносы декодировались и существовали только в памяти, что обеспечило дополнительный уровень обфускации.

По мнению исследователей, с помощью таких загрузчиков злоумышленники в теории могли бы использовать любые файлы для сокрытия вредоносных компонентов. Загрузчики, в свою очередь, можно найти в общем доступе, так что эксперты Cylance не берутся связывать выявленные ими атаки с деятельностью Turla.

«Атрибуция в подобных случаях всегда затруднительна, поскольку единственное, чем располагают эксперты - это косвенные признаки, - полагает Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. - А их иногда можно сымитировать. В любом случае, присутствие криптомайнеров свидетельствует о коммерческой заинтересованности злоумышленников, что для Turla нетипично».



Взгляд месяца

Идея внутренней разработки себя не оправдала

Наталия Оржевская

директор центра управления командами, «Диасофт»

Профиль месяца

Искусственный интеллект стал полумифическим понятием

Сергей Поляков

ИТ-директор Альфа-Банка