Un grupo de villanos denominado «Worok» es capaz de ocultar malware dentro de imágenes en formato PNG para infectar las máquinas de las víctimas, con el objetivo de robar información. Dado que el malware se codifica en un archivo de imagen, es difícil de detectar por parte de las soluciones de seguridad.
La mayoría de antivirus no verifican las imágenes en busca de código ejecutable.
Los investigadores de ESET y Avast detectaron este malware por primera vez en mayo del año pasado y notaron que la mayoría de los objetivos eran organizaciones gubernamentales de Medio Oriente, el sudeste asiático y Sudáfrica.
Si bien a la mayoría de nosotros esto puede sonarnos a chino, las herramientas utilizadas por esta gente incluyen:
- Un cargador CLRLoad de C++.
- Un PowHeartBeat de puerta trasera de PowerShell.
- Un cargador PNGLoad de C# que usa estenografía para extraer la información maliciosa oculta (carga útil) en los archivos PNG.
Usando estenografía, el grupo Worok, enmascara el código malicioso dentro de imágenes que a primera vista parecen inofensivas.
La técnica elegida se denomina «codificación de bits menos significativos (LSB)» porque implica incrustar pequeñas porciones de código en los bits menos significativos de los píxeles de una imagen.
Si bien en principio el objetivo son los gobiernos y las grandes corporaciones, la técnica se puede utilizar para apuntar a cualquier persona.
Es por eso que debemos tener cuidado al tratar con imágenes aparentemente inofensivas.
Qué podemos hacer al respecto
En principio no hay que entrar en paranoias: nadie va a infectar nuestra máquina por el solo hecho de ver una imagen en formato PNG.
Y las herramientas utilizadas en estos ataques, de momento, no circulan libremente por el medio silvestre, por lo que es muy probable que este grupo de villanos sea el único que las emplea.
Pero aun así, siempre es mejor estar alerta.
Evita hacer clic en imágenes recibidas por correo electrónico procedentes de remitentes desconocidos.
Los mensajes de correo puede tener contenido remoto en forma de imágenes u hojas de estilo.
Configura tu cliente de correo electrónico para que no cargue de forma automática dicho contenido.
Asegúrate de que el sistema operativo y las aplicaciones cuenten con las actualizaciones de seguridad más recientes.
Eso último es fundamental para evitar los ataques mediante exploits, que se aprovechan de las vulnerabilidades para perpetrar sus fechorías.
En general, es relativamente fácil incrustar datos en archivos y hacer que pasen completamente desapercibidos.
Debido a esto, es importante realizar comprobaciones de integridad de los elementos de este tipo procedentes de fuentes externas.
Un atacante podría usarlos para dañar un dispositivo o, lo que es peor, para robar datos confidenciales sin que nos demos cuenta.
