Hackers Escondem Malware em Imagens de Site Confiável

Um novo relatório da HP Wolf Security destaca avanços alarmantes nas táticas de entrega de malware, incluindo a incorporação de códigos maliciosos em imagens aparentemente inócuas hospedadas em plataformas legítimas.

Uma das descobertas mais marcantes envolve campanhas de malware que incorporaram códigos maliciosos em arquivos de imagem. Essas imagens foram carregadas no archive.org, um site confiável de compartilhamento de arquivos, para evitar suspeitas. Ao fazer isso, os hackers conseguiram driblar medidas de segurança comuns, como filtros de rede, que geralmente dependem da reputação do site.

Dois tipos de malware foram disseminados usando essa tática: VIP Keylogger e 0bj3ctivityStealer. Ambos são projetados para roubar informações sensíveis, como senhas e detalhes de cartões de crédito.

Hackers enviaram e-mails se passando por faturas ou pedidos de compra para enganar as empresas a baixar anexos maliciosos. Esses anexos continham arquivos que, quando abertos, desencadeavam uma reação em cadeia.

O processo incluiu o download de um arquivo de imagem aparentemente inofensivo do archive.org. Escondido dentro da imagem estava um malware codificado, que então se instalava no computador da vítima.

Uma imagem vinculada a esta campanha foi visualizada quase 29.000 vezes, sugerindo a grande escala do ataque.

Uma vez que a imagem é baixada, um pedaço de código extrai e decodifica o malware escondido dentro dela. O malware então é executado no dispositivo da vítima, registrando as teclas digitadas, roubando senhas e até mesmo tirando capturas de tela. Para tornar o ataque persistente, o malware modifica o registro do computador, garantindo que ele seja iniciado toda vez que o computador é ligado.

O relatório indica que este método de esconder código malicioso em imagens é particularmente eficaz porque explora plataformas legítimas, tornando mais difícil para as ferramentas de segurança tradicionais detectarem.

Os pesquisadores acrescentam que esses incidentes destacam a eficiência da reutilização de kits e componentes de malware, já que ambas as campanhas utilizaram o mesmo carregador .NET para instalar seus respectivos payloads. Essa abordagem modular não apenas agilizou o processo de desenvolvimento para os agentes de ameaças, mas também permitiu que eles se concentrassem em aperfeiçoar técnicas para evitar detecção.

A incorporação de código malicioso em imagens não é uma tática nova, mas representa um ressurgimento em sua popularidade devido aos avanços nos métodos de ofuscação e entrega. O relatório enfatiza a necessidade de uma proteção de endpoint aprimorada e treinamento de conscientização dos funcionários para combater tais ameaças sofisticadas.

À medida que os cibercriminosos continuam a inovar, aproveitando ferramentas e plataformas legítimas, o relatório serve como um lembrete contundente da evolução do panorama de ameaças cibernéticas. As equipes de segurança devem permanecer vigilantes, adotar medidas proativas e se manter informadas para mitigar os riscos representados por essas ameaças emergentes.