Stegware: quando as imagens são usadas para esconder malwares

A esteganografia é a prática de ocultar dados dentro de outros textos ou dados, e tem sido amplamente utilizada há séculos, desde os antigos gregos escondendo mensagens em tabletes de cera, agentes escondendo a informação do inimigo em ordens escritas em bonecas durante a Segunda Guerra Mundial, até prisioneiros de guerra piscando em código morse para transmitir uma mensagem. E como dizem por aí, tudo o que é antigo volta novamente, e os cibercriminosos agora estão abraçando o stegware, uma operação maliciosa envolvendo a esteganografia como veículo para esconder um ataque.

A esteganografia funciona ocultando uma carga útil dentro dos bits de um arquivo transportador (por exemplo, uma imagem). Esta operação furtiva mantém o arquivo intocado a partir de uma perspectiva de conteúdo, então ninguém notará que a imagem foi modificada. 

Ciberataques recentes demonstraram a versatilidade da esteganografia aplicada em ataques novos e também em outros bem conhecidos. A esteganografia desempenha o papel de veículo para ocultar ataques, proporcionando uma grande vantagem para os cibercriminosos: multiplica exponencialmente a taxa de sucesso do ataque. Por exemplo, sem esteganografia, pesquisadores de segurança podem enfrentar uma campanha de malwares enviados em anúncios pelo intervalo de dias ou semanas. No entanto, uma campanha lançada com a ajuda da esteganografia pode ser executada por meses ou até anos antes de ser detectada. 

Usando esteganografia os cibercriminosos podem repetir ataques antigos e reorganizá-los como stegware para passar pelas soluções de segurança. Eles podem então relançar um ataque e superar vários pontos de controle de segurança, rejuvenescendo um ciberataque depreciado.

A esteganografia tem sido utilizada com sucesso para a extração de dados, espionagem, comunicações ocultas, orquestração C2/botnets, malvertising (envio de malwares via propaganda) e a propagação do ransomware.

 Veja são alguns exemplos de como o Stegware opera em cada caso:

Um funcionário decide roubar alguns arquivos sensíveis. Com os sistemas de segurança atuais, isso seria notado usando abordagens de hacking normais. No entanto, usando esteganografia, os arquivos sensíveis são codificados em imagens. Ao fazê-lo, as imagens podem ser carregadas para redes sociais ou serviços de armazenamento em nuvem sem levantar suspeitas.

Um grupo de cibercriminosos está tentando se comunicar e sincronizar ataques de diferentes países. Como eles não podem usar canais de comunicação padrão, eles decidem esconder mensagens secretas em imagens de perfil de contas sociais. Dessa forma, eles podem emular um “serviço de bate-papo” carregando e baixando fotos de perfil nada suspeitas.

Uma botnet foi implantada e está aguardando instruções. Qualquer tentativa de comunicação de um servidor central para os bots provavelmente será descoberta, eventualmente. Em vez de usar um servidor, os bots são configurados para baixar periodicamente o feed (texto e imagens) de uma conta social pública. Ao decodificar dados esteganográficos do feed, as instruções são extraídas e executadas.

Uma campanha maliciosa está prevista para afetar milhões de usuários, mas os seus autores querem mantê-la o mais secreta possível. Uma vez que o objetivo é explorar uma vulnerabilidade do navegador, eles usam esteganografia para esconder código malicioso em imagens de propaganda. Para chegar rapidamente a um grande público, eles enviam o banner para redes que distribuem a imagem em centenas de sites. Ao fazê-lo, a propagação é garantida e a receita da campanha é enorme.

Um novo ataque ransomware esconde a comunicação entre as vítimas e o criminoso. Usando esteganografia, as informações colhidas do sistema-alvo são codificadas em imagens e carregadas para um site de hospedagem de imagens. Graças a essa tática, a implantação da campanha ransomware permanece oculta por um período muito mais longo.

Os exemplos acima são inspirados em casos reais. Embora muitos desses ataques tenham sido detectados, a quantidade de tempo e esforço necessários para detectar e parar o stegware foi (e continua a ser) enorme. O resultado é uma ótima oportunidade para os cibercriminosos.

Esta não é uma boa notícia para a segurança cibernética. No entanto, ao identificar pelo menos um cenário no qual stegware pode comprometer a segurança da empresa, você estará um passo à frente. Ao considerar o stegware como uma possibilidade e seguir as práticas de segurança, é possível começar a mitigar essa ameaça.

(*) German Lancioni é arquiteto de Software de Inovação da McAfee