Хакеры используют изображения JPG для запуска полностью невидимого вируса-вымогателя
Сложная кампания атак с использованием стеганографических методов для сокрытия вредоносного кода в обычных файлах изображений JPEG, предоставляющая полностью необнаруживаемую (FUD) полезную нагрузку программы-вымогателя, которая обходит традиционные решения безопасности.
Атака использует структуру метаданных файлов JPEG для сокрытия кода PowerShell, который при срабатывании загружает и запускает программу-вымогатель, не вызывая предупреждений системы безопасности.
Эта технология, известная как стеговредоносное ПО, представляет собой эволюцию возможностей злоумышленников обходить механизмы обнаружения.
Вредоносное ПО стегоналогии работает путем создания стеганографической системы для сокрытия вредоносных данных в своих ресурсах, а затем извлекает и выполняет их динамически.
Это считается одним из самых сложных и скрытных способов сокрытия информации, используемых в настоящее время злоумышленниками.
Многоэтапная атака вирусов-вымогателей с использованием файлов JPG
По словам Аукса Грепа, атака начинается, когда жертвы получают, казалось бы, безобидные изображения JPG по электронной почте, в социальных сетях или на взломанных веб-сайтах.
В данных EXIF этих изображений скрыт запутанный код PowerShell, предназначенный для инициирования последовательности атак.
При открытии изображения вторичный компонент (обычно документ Office, содержащий макрос) извлекает и выполняет скрытый код с помощью команд, подобных следующим:
После выполнения скрипт PowerShell загружает JPG-файл, содержащий закодированную в Base64 сборку .NET, скрытую между определенными маркерами.
Затем эта сборка загружает и выполняет финальную полезную нагрузку программы-вымогателя, которая шифрует файлы жертвы, оставаясь при этом незамеченной решениями безопасности.
Эта атака особенно опасна из-за использования ею методов FUD. Авторы вредоносных программ понимают, как работают продукты безопасности, и специально разрабатывают свой код, чтобы избежать обнаружения.
Частота обновлений определений вирусов значительно возросла, но вредоносное ПО FUD остается впереди, используя крипторы для шифрования своего кода, что делает его уникальным и гарантирует, что он не будет соответствовать ничему в вирусных базах данных.
Стеганографический подход обеспечивает дополнительный уровень защиты для злоумышленников. Поскольку вредоносный код скрыт в пиксельных данных, а не в метаданных, он становится практически невидимым для традиционных средств обнаружения.
В ходе недавней кампании, задокументированной в марте 2025 года, исследователи выявили злоумышленников, использующих эту технику для распространения различных вредоносных программ RAT (троянов удаленного доступа), включая LimeRAT , AgentTesla и Remcos, с последующим развертыванием программ-вымогателей.
Первоначальный вектор заражения обычно включает спам-письма с прикрепленными изображениями. После загрузки активируется скрытый скрипт PowerShell, который извлекает скрытый код и устанавливает соединение с командно-контрольными серверами перед развертыванием полезной нагрузки программы-вымогателя.
Меры защиты
Эксперты по безопасности рекомендуют несколько мер защиты от подобных атак:
- Внедрите передовые решения по фильтрации электронной почты, которые анализируют встроенные компоненты изображений.
- Отключить автоматическое выполнение макросов в документах Office.
- Регулярно выполняйте автономное резервное копирование критически важных данных.
- Развертывайте решения по безопасности с возможностями поведенческого анализа, а не только с обнаружением на основе сигнатур.
- Соблюдайте осторожность при загрузке изображений из ненадежных источников.
Поскольку злоумышленники продолжают совершенствовать свои методы, организациям необходимо сохранять бдительность в отношении этих все более изощренных угроз, которые превращают обычные изображения в векторы для разрушительных атак с целью вымогательства.
Источник — https://cybersecuritynews.com/
About The Author
