Icono del sitio Una Al Día

Esteganografía: código malicioso oculto en archivos de audio WAV.

Pablo López Bonilla

Investigadores de Blackberry Cylance Threat han descubierto recientemente código malicioso ofuscado dentro de archivos de audio en formato WAV. Al parecer, los archivos WAV incorporaban ocultos droppers para decodificar y ejecutar posteriormente código malicioso.

Análisis de uno de los binarios maliciosos en hexadecimal.

La implementación del código malicioso conseguía, en la mayoría de ocasiones, no corromper las estructuras fundamentales del archivo, permitiendo su reproducción sin anomalía reseñable o pérdida de calidad. En algunos casos, el código malicioso provocaba colateralmente que el contenido reproducido fuera ruido blanco.

El análisis de los investigadores revelaba que el código malicioso estaba relacionado con el minero XMRig Monero. También se han hallado evidencias en los archivos maliciosos de código directamente relacionado con el famoso framework de explotación Metasploit. Concretamente, el código encontrado se encargaba de generar una conexión reversa y entregar una shell al atacante.

Los droppers de los archivos maliciosos encargados de decodificar y llamar posteriomente al minero, son clasificados, fundamentalmente, en tres grupos según los investigadores:

La variedad de aproximaciones válidas para la inyección de estos payloads demuestra la viabilidad de la esteganografía como vector de infección a través del ocultamiento de código ejecutable en prácticamente cualquier tipo de archivo siempre que el atacante sea capaz de no corromper la estructura fundamental del contenedor.

A continuación se listan algunas de las firmas SHA-256 de los archivos implicados, para su comprobación y estudio en VirusTotal:

Más información y detalles técnicos:

https://threatvector.cylance.com/en_us/home/malicious-payloads-hiding-beneath-the-wav.html

Acerca de Pablo López Bonilla

Ha escrito 53 publicaciones.

Salir de la versión móvil