Стеганография по-прежнему пользуется популярностью

Александр Панасенко 23 Ноября 2015 - 13:46

...

Сотрудники компании Crowdstrike и подразделения Dell SecureWorks представили доклад на конференции Black Hat Europe. Они рассказали, что стеганография по-прежнему не забыта злоумышленниками и остается надежными методом сокрытия данных.

Сама идея стеганографии не нова — первое упоминание этого термина относится к 1499 году, и уже тогда под этим подразумевалась передача информации путем сохранения в тайне самого факта передачи. Как ни странно, в наши дни стеганография не получила широкого признания в среде киберпреступников, хотя нельзя сказать, чтобы к ней не прибегли вовсе – такие случаи были, пишет xakep.ru.

Теперь исследователи из Crowdstrike и Dell SecureWorks утверждают, что стеганография переживает новый, заметный виток популярности в хакерской среде, и приводят примеры. Один из наиболее свежих образчиков применения стеганографии – DDoS-инструмент Foreign. Бот прячет команды в стандартных сообщениях об ошибке протокола HTTP. Foreign парсит страницу и сталкивается с обычной, на первый взгляд, ошибкой 404. На самом деле, в ошибке сокрыта C&C команда, закодированная с применением Base64 и спрятанная между тегами comment. Отследить такой обмен данными с командным сервером крайне затруднительно.

Также исследователи рассказали о даунлоудере Lurk, который скачивает на зараженные машины клик-фрод программы. Lurk впервые был замечен аналитиками еще в 2014 году, и тогда же даунлудер уличили в том, что он прячет URL, с которых получает контент, в .bmp файлах, то есть в картинках.

Банковская малварь Gozi (также известная как Vawtrak, Neverquest или Snifula) начала использовать стеганографию в начале текущего года и применяет ее в качестве «резервного механизма для получения URL, с которых может скачать файл конфигурации». Авторы трояна невероятно изобретательны, потому как зашифрованная информация хранится в файлах favicon.ico, которые хостятся в Tor. Об этом примечательном случае мы рассказывали весной текущего года.

Кроме того, в поле зрения исследователей попал вредонос Stegoloader, который работает по схожей с Lurk схеме. Малварь полагается в работе на специальный модуль, который скачивает изображения PNG, содержащие вредоносный код. В основном Stegoloader похищает системную информацию, но также может использоваться для загрузки дополнительных модулей, а после – для получения доступа к документам, списку установленных программ, кражи истории браузера и установки дополнительной малвари, которая, в свою очередь, похищает пароли.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 12 Сентября 2025 - 16:35

Целевые атаки Таргетированные атаки Домашние пользователи Корпорации

Борзохакеры Scattered LAPSUS$ Hunters 4.0 заявили, что отходят от дел

В телеграм-канале криминальной группировки Scattered LAPSUS$ Hunters 4.0 появилось неожиданное известие — прощальный привет с отсылкой к заявлению на хакерском форуме, в котором озвучено решение свернуть операции.

Насколько известно, в состав Scattered LAPSUS$ Hunters 4.0 входят бывшие участники Scattered Spider, LAPSUS$ и ShinyHunters — отсюда и столь причудливое название.

Дерзкие налетчики и бахвалы не объявлялись в Telegram трое суток, их фанатам оставалось только гадать о причинах столь долгого молчания. Заявление на BreachForums прояснило ситуацию: взяв паузу, авторы громких атак, по их словам, посоветовались с близкими и окончательно утвердились в намерении уйти в тень.

В постинге также сказано, что нашумевшие нападения на Salesforce, CrowdStrike, Google, производственные мощности Jaguar Land Rover, американские, французские и британские авиакомпании — лишь дымовая завеса, помогающая отвлечь всеобщее внимание от истинных целей кибергруппы.

Заявив об этом, хакеры не преминули лишний раз подразнить ФБР и ИБ-экспертов, упрекнув их в близорукости и тщеславии. По их утверждению, аресты по итогам расследований зачастую были ошибочными: они умышленно подставляли сторонних людей, но так, чтобы это не имело серьезных последствий.

Лес рубят — щепки летят, спецслужбы прекрасно знают эту пословицу, хотя родственников без вины виноватых автору поста искренне жаль (по крайне мере, так сказано). Вместе с тем он подчеркнул: многие инциденты еще не раскрыты, однако спасать козлов отпущения LAPSUS$ Hunters больше не будут.

В пространном заявлении встречаются и философские сентенции, которые могут говорить о том, что печально известные хвастуны и киберхулиганы, наконец, остепенились. Например, такие:

«Таланта и мастерства в наше время недостаточно, миром правят те, принимает решения и имеет власть».

В заключение LAPSUS$ Hunters пишут: их цели достигнуты, пришло время попрощаться. Накопленных миллионов достаточно, чтобы утешить самых недалеких соратников, остальные продолжат изучать и совершенствовать техническое наследие либо просто уйдут на покой.

Что это, действительно прощальный привет или очередная дымовая завеса, на сей раз в духе exit scam, покажет будущее.