Archivos maliciosos ocultos en formato WAV

Los investigadores de amenazas de BlackBerry Cylance descubrieron recientemente código malicioso ofuscado incrustado en archivos de audio WAV. Cada archivo WAV se combinó con un componente que decodifica y ejecuta contenido malicioso mezclado en los datos de audio del archivo. Cuando se reproducen, algunos de los archivos WAV no tienen problemas de sonido, calidad ni problemas técnicos. Otros simplemente generaron estática (ruido blanco).

El análisis revela que algunos de los archivos WAV contienen código asociado con el minado en CPU de Monero XMRig. Otros directamente ncluyen el código de Metasploit utilizado para establecer una conexión shell inversa. Ambas cargas se descubrieron en el mismo entorno, lo que sugiere una campaña doble para desplegar malware con fines de lucro y establecer acceso remoto dentro de la red de la víctima.

Los payloads en los archivos WAV se pueden agrupar en las siguientes tres categorías:

• Payloads que emplean esteganografía de bit menos significativo (LSB) para decodificar y ejecutar un archivo PE.
• Payloads que emplean un algoritmo de decodificación basado en rand () para decodificar y ejecutar un archivo PE.
• Payloads que emplean un algoritmo de decodificación basado en rand () para decodificar y ejecutar una shellcode.

Cada enfoque permite al atacante ejecutar código desde un formato de archivo benigno. Estas técnicas demuestran que, en teoría, el contenido ejecutable podría estar oculto dentro de cualquier tipo de archivo, siempre que el atacante no dañe la estructura y el procesamiento del formato del contenedor. La adopción de esta estrategia introduce una capa adicional de ofuscación porque el código subyacente solo se revela en la memoria, lo que hace que la detección sea más dificil.

Vale la pena señalar que el payload de esteganografía también fuen identificado por un análisis de Symantec de junio de 2019 en una actividad de la APT Waterbug/Turla. Además, Symantec también identificó archivos WAV que contienen el código de Metasploit codificado. Estas similitudes pueden indicar una relación entre los ataques, aunque la atribución definitiva es un desafío porque diferentes actores pueden usar herramientas similares. Además, el análisis de Cylance se centró principalmente en los payloads, que son una etapa inicial de ejecución utilizada para lanzar código adicional. Diferentes actores pueden usar el mismo payload disponible públicamente para ejecutar malware en una segunda etapa no relacionada con las técnicas descriptas.

Payloads que emplean esteganografía

La primera categoría mencionada emplea esteganografía para extraer contenido ejecutable de un archivo WAV. La esteganografía es la práctica de ocultar un archivo o mensaje dentro de otro archivo, idealmente sin levantar sospechas sobre el archivo de destino.

Los atacantes han utilizado técnicas de esteganografía para ocultar datos en el pasado; de hecho, Cylance ya publicó un informe en abril pasado donde describe cómo OceanLotus Threat Group aprovechó la esteganografía para ocultar cargas maliciosas de puerta trasera dentro de los archivos de imagen. En este caso, el código se oculta dentro del archivo de audio utilizando la técnica de bit menos significativo (LSB), donde el bit más a la derecha de un byte individual contiene los datos de interés.

Fuente: Cylance