Cuidado con lo que escuchas: Introducen malware en archivos WAV

Investigadores descubrieron un nuevo tipo de ataque, en este caso los atacantes incluyen código malicioso en archivos de extensión WAV. Algunos de los archivos WAV infectados reproducían música sin problemas técnicos, mientras que otros generaban ruido blanco.

La campaña entregó dos cargas útiles, el minero de CPU XMRig Monero y un código Metasploit para establecer un shell inverso.

El descubrimiento de estas dos cargas útiles en el mismo entorno puede insinuar ganancias financieras y acceso remoto en la red de la víctima.
Esta campaña emplea esteganografía, el proceso de ocultar un archivo en otro archivo para evitar su detección. El código malicioso se oculta en el archivo de audio utilizando la técnica de bit menos significativo (LSB).

El uso de esteganografía y otras técnicas de codificación en esta campaña hacen que sea difícil de detectar.

El análisis muestra que los cargadores utilizados son de tres tipos diferentes: uno que emplea esteganografía de bit menos significativo (LSB) para decodificar y ejecutar un archivo PE, otro que emplea un algoritmo de decodificación basado en rand () para decodificar y ejecutar un archivo PE, y uno que emplea un algoritmo de decodificación basado en rand () para decodificar y ejecutar shellcode.

El uso de estos tres cargadores y dos cargas útiles indica un alto nivel de innovación en esta campaña de ataque. “Cada enfoque permite al atacante ejecutar código desde un formato de archivo benigno. Estas técnicas demuestran que, en teoría, el contenido ejecutable podría estar oculto dentro de cualquier tipo de archivo, siempre que el atacante no corrompa la estructura y el procesamiento del formato del contenedor ”, dicen los investigadores.

A qué se parece este malware?

Los investigadores encontraron similitudes entre estos ataques y los del actor de amenaza Waterbug/Turla. Sin embargo, existe la posibilidad de que diferentes actores de amenazas usen el mismo cargador disponible públicamente.