STEGANO: imágenes con malware oculto

Durante los últimos dos meses, millones de visitantes de los principales sitios web han sido expuestos con una nueva forma de malware dentro de los píxeles de las imágenes. Y si no lo has visto, no te sorprendas.

El nuevo malware con el nombre de «Stegano», es casi invisible a simple vista. Su código ha sido incorporado en parámetros que controlan la transparencia de los píxeles. Dado que se encuentra en el canal alfa, es difícil de detectar incluso para los expertos.

El nombre del malware viene de la palabra Steganografía; La práctica de ocultar mensajes secretos dentro de un documento más grande. El medio es nuevo, pero la práctica se remonta a por lo menos al año 440 antes de nuestra era.

¿Cómo funciona Stegano?

Stegano verifica primero que el navegador no se está ejecutando en una máquina virtual o que está conectado a dispositivos de seguridad para detectar ataques. Luego, redirecciona el navegador a un sitio que alberga ataques a vulnerabilidades de Adobe Flash.

Según los investigadores del antivirus ESET, el virus Stegano supera con facilidad otros ataques de vulnerabilidades, como Angler y Neutrino. Si Stegano está consiguiendo grandes ganancias, esto significa que más malware basado en ataques de píxeles ocultos llegue a la luz.

¿Puede distinguirlo? Izquierda: Imagen limpia. Medio: Imagen con contenido malicioso. Derecha: Imagen mejorada con contenido maliciosa.

«Hemos observado grandes dominios de internet, incluyendo sitios web de noticias visitados por millones de personas todos los días, que actúan como huéspedes para estos anuncios», dijo un representante de ESET Antivirus. «Al dar clic en la publicidad, el navegador mostrará una pancarta de aspecto normal en el navegador, sin embargo, hay mucho más que solo publicidad.

Dos valores alfa consecutivos representan las decenas y un código de carácter, codificado en un orden de 255 (el alfabeto completo). Para hacer esto difícil de detectar a simple vista, la diferencia se minimiza utilizando un desplazamiento de 32 valores.

¿Qué es importante saber?

Actualmente, los anuncios de Stegano promueven aplicaciones que se llaman «Browser Defense» y «Broxu». También se dirigen a personas que visitan sitios de noticias usando navegadores de Internet Explorer. La secuencia de comandos contenida en los píxeles explota una vulnerabilidad ahora denominada CVE-2016-0162 para obtener información sobre las computadoras de los visitantes.

El script también comprueba la presencia de captura de paquetes, sand-boxing, software de virtualización y una variedad de productos de seguridad. Si ninguno de ellos existe, lleva al sitio de la vulnerabilidad y consigue el malware de Ursnif o Ramnit.

En resumen, los atacantes han hecho todo lo posible para asegurarse de que no se ataca a las personas que poseen cierto nivel de seguridad. Los ataques de Stegano se concentran en Canadá, Reino Unido, Australia, España e Italia.

Debido a que la carga útil utiliza una versión fuertemente modificada de Countly, un paquete de código abierto para medir el tráfico del sitio web, las redes publicitarias actualmente no detectan nada malicioso en el Javascript.

¿Qué es el malware Ursnif o Ramnit?

La familia Ursnif se compone de módulos diseñados para robar credenciales de correo electrónico, registrar pulsaciones de teclas, tomar capturas de pantalla y videos, y actuar como una puerta trasera en su dispositivo de ataque. La familia de malware Ramnit hace esencialmente lo mismo que Ursnif, sin embargo, se dirige principalmente a la industria bancaria.

Proteja a sus usuarios

Dado que los ataques de tipo Stegano son casi invisibles a simple vista, incluso un usuario repleto de seguridad es vulnerable a este tipo de amenazas. Esto significa que su entrenamiento y preparación anti-phishing van a ser casi inútiles contra este tipo de malware. Y si estos kits de la explotación llegan, su negocio podría ser atacado por decenas de millares de dólares de un solo virus.

Si desea que su negocio sobreviva y esté preparado para proteger sus datos confidenciales hasta en los tiempos más difíciles, la solución: copias de seguridad y software de recuperación de desastres.

Nuestra recomendación: BackupAssist es el software de recuperación y recuperación de desastres # 1 para servidores Windows, utilizado por organizaciones de fama mundial como la NASA, Cessna y el MIT. Prueba la versión gratuita de 30 días y conoce el siguiente nivel de seguridad.

¿Estás interesado en probar BackupAssist? Te invitamos a probar la versión de prueba gratuita de 30 días y conocer todo lo que BackupAssist y las copias de seguridad incrementales tienen para ofrecer para el éxito de tu empresa.

Si tienes alguna duda o quieres conocer más sobre BackupAssist, contáctanos al +34 93 184 53 53 o escríbenos un email a interbel@interbel.es.