Спецпроекты

Хакеры спрятали майнер криптовалюты Monero в аудиофайлы WAV

Безопасность Стратегия безопасности Техника Маркет

Второй раз за год эксперты обнаруживают использование аудиофайлов для стеганографического сокрытия вредоносных компонентов. Этим обеспечивается дополнительный уровень обфускации.

Шум или музыка? - Вредонос

Эксперты компании BlackBerry Cylance обнаружили серию кибератак, в ходе которых вредоносный код был скрыт в аудиофайлах с расширением .WAV. С помощью таких файлов распространялись бэкдоры и криптомайнеры Monero.

Использование стеганографии - когда вредоносный код прячется в файлах неисполняемых и, в целом, совершенно безобидных форматов, - довольно распространённый приём для обхода защитных средств на целевой системе. Чаще всего киберзлоумышленники используют графические файлы - JPEG или PNG. Использование файлов WAV, однако, встречается всего лишь второй раз.

«Каждый файл WAV дополнен загрузчиком, который декодирует и запускает вредоносный контент, скрытно вплетённый в аудиоданные, - указывается в исследовании Cylance. - При проигрывании некоторые из файлов WAV воспроизводили музыку без сколько-нибудь заметных сбоев или различимых проблем с качеством. Другие просто воспроизводили статику (белый шум)».

monero1600.jpg
Злоумышленники распространяют бэкдоры и криптомайнеры Monero в аудиофайлах .WAV

Впервые применение подобной методики отметили эксперты Symantec в июне 2019 г.: APT-группировка Turla использовала файлы WAV для распространения бэкдора Meterpreter из общедоступного набора Metasploit.

Не Turla?

В случае с атаками, выявленными Cylance, аудиофайлы использовались для доставки криптомайнеров и кода из Metasploit, предназначенного для создания обратного shell-соединения для удалённого управления заражённой системой.

По данным Cylance, загрузчики использовали три разных метода для декодирования и запуска вредоносного содержимого. Первый использова LSB-стеганографию, два других - алгоритмы на базе rand(). Вредоносы декодировались и существовали только в памяти, что обеспечило дополнительный уровень обфускации.

По мнению исследователей, с помощью таких загрузчиков злоумышленники в теории могли бы использовать любые файлы для сокрытия вредоносных компонентов. Загрузчики, в свою очередь, можно найти в общем доступе, так что эксперты Cylance не берутся связывать выявленные ими атаки с деятельностью Turla.

«Атрибуция в подобных случаях всегда затруднительна, поскольку единственное, чем располагают эксперты - это косвенные признаки, - полагает Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. - А их иногда можно сымитировать. В любом случае, присутствие криптомайнеров свидетельствует о коммерческой заинтересованности злоумышленников, что для Turla нетипично».