Стеганография по-прежнему пользуется популярностью

Стеганография по-прежнему пользуется популярностью

Сотрудники компании Crowdstrike и подразделения Dell SecureWorks представили доклад на конференции Black Hat Europe. Они рассказали, что стеганография по-прежнему не забыта злоумышленниками и остается надежными методом сокрытия данных.

Сама идея стеганографии не нова — первое упоминание этого термина относится к 1499 году, и уже тогда под этим подразумевалась передача информации путем сохранения в тайне самого факта передачи. Как ни странно, в наши дни стеганография не получила широкого признания в среде киберпреступников, хотя нельзя сказать, чтобы к ней не прибегли вовсе – такие случаи были, пишет xakep.ru.

Теперь исследователи из Crowdstrike и Dell SecureWorks утверждают, что стеганография переживает новый, заметный виток популярности в хакерской среде, и приводят примеры. Один из наиболее свежих образчиков применения стеганографии – DDoS-инструмент Foreign. Бот прячет команды в стандартных сообщениях об ошибке протокола HTTP. Foreign парсит страницу и сталкивается с обычной, на первый взгляд, ошибкой 404. На самом деле, в ошибке сокрыта C&C команда, закодированная с применением Base64 и спрятанная между тегами comment. Отследить такой обмен данными с командным сервером крайне затруднительно.

Также исследователи рассказали о даунлоудере Lurk, который скачивает на зараженные машины клик-фрод программы. Lurk впервые был замечен аналитиками еще в 2014 году, и тогда же даунлудер уличили в том, что он прячет URL, с которых получает контент, в .bmp файлах, то есть в картинках.

Банковская малварь Gozi (также известная как Vawtrak, Neverquest или Snifula) начала использовать стеганографию в начале текущего года и применяет ее в качестве «резервного механизма для получения URL, с которых может скачать файл конфигурации». Авторы трояна невероятно изобретательны, потому как зашифрованная информация хранится в файлах favicon.ico, которые хостятся в Tor. Об этом примечательном случае мы рассказывали весной текущего года.

Кроме того, в поле зрения исследователей попал вредонос Stegoloader, который работает по схожей с Lurk схеме. Малварь полагается в работе на специальный модуль, который скачивает изображения PNG, содержащие вредоносный код. В основном Stegoloader похищает системную информацию, но также может использоваться для загрузки дополнительных модулей, а после – для получения доступа к документам, списку установленных программ, кражи истории браузера и установки дополнительной малвари, которая, в свою очередь, похищает пароли.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В магазине аддонов Firefox найдены 40+ фейков, нацеленных на кражу крипты

Неизвестные злоумышленники уже несколько месяцев плодят в магазине аддонов для Firefox вредоносные клоны криптокошельков в надежде заполучить доступ к цифровым активам юзеров, по ошибке загрузивших фальшивку.

Как выяснили в Koi Security, текущая кампания стартовала как минимум в апреле этого года. На настоящий момент обнаружено 44 фейковых Coinbase, MetaMask, Phantom, Exodus, MyMonero, Ethereum Wallet и проч., и они продолжают множиться.

Вредоносный код, встроенный в копии популярных аддонов, заточен под перехват ключей и сид-фраз, открывающих доступ к кошелькам. Отслеживать ввод искомых секретов на сайтах ему помогают слушатели событий input и click.

 

Украденные данные зловред отправляет на свой сервер вместе с IP-адресом жертвы — видимо, для трекинга или целевых атак.

Придать видимость легитимности фальшивкам помогают скопированные с оригинала логотипы и накрутка рейтинга за счет публикации ложных положительных отзывов.

 

В коде опасных находок были обнаружены русскоязычные комментарии. Обо всех выявленных фейках было сообщено в Mozilla; некоторые из них все еще доступны в официальном магазине.

Разработчик Firefox активно борется с подобными фейками и обычно оперативно реагирует на жалобы, блокируя загрузку вредоносных аддонов, просочившихся на его сайт.

В этом году специалисты компании ввели в строй систему упреждающего детектирования криптоскама. Публикуемые аддоны Firefox в автоматическом режиме ранжируются по уровню риска; когда он высок, подключаются специалисты, и по результатам анализа принимается решение о блокировке.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru