Wirus ukrywający się w cyfrowym obrazku, czyli mniej znane metody działania cyberprzestępców

Chyba wszyscy już wiemy, że niebezpieczne wirusy mogą być przesyłane do nas w mailach, w formie załączników czy linków. Cyberprzestępcy zdołali jednak wypracować zdecydowanie bardziej wyrafinowane metody infekowania sprzętu. Wśród nich, jedną z najbardziej kreatywnych jest ukrywanie złośliwego oprogramowania w grafikach. Czy da się rozpoznać takie obrazki? Jak się ochronić przez tym zagrożeniem?

Ukrywanie złośliwego kodu w obrazkach może brzmieć niewiarygodnie, ale niestety jest całkiem realne. Umożliwia to technika steganografii, czyli ukrywanie danych wewnątrz innych plików lub mediów. Badacze ESET zauważyli stosowanie tej techniki przez grupę cyberszpiegowską Worok, która ukrywała złośliwy kod w plikach graficznych. Działania te były przeprowadzane na już zaatakowanych systemach, ponieważ ukrywanie złośliwego oprogramowania w obrazach ma zwykle na celu unikanie wykrycia niż uzyskanie inicjalnego dostępu do systemu.

– Najczęściej złośliwe obrazy są udostępniane na stronach internetowych lub umieszczane w dokumentach. Aby cyberprzestępcy mogli je wykorzystać, muszą jeszcze umieścić na naszym urządzeniu drugi element układanki, czyli inny rodzaj złośliwego oprogramowania, które będzie w stanie wydobyć złośliwy kod z obrazka i wykonać go – tłumaczy Kamil Sadkowski, analityk laboratorium antywirusowego ESET.

Jak to działa?

Jedną z najbardziej przebiegłych metod wplecenia złośliwego kodu w obraz jest zmiana najmniej znaczącego elementu (bitu) w każdym kolorze piksela – czerwonym, zielonym, niebieskim, a także współczynnika przezroczystości (RGBA), na mały fragment ukrytej wiadomości. Innym sposobem jest wkomponowanie danych jedynie w część obrazu odpowiedzialną za przezroczystość (tzw. kanał alfa). Przestępcy robią to tak subtelnie, że zmiany są prawie niezauważalne. Dzięki temu obraz na pierwszy rzut oka wygląda normalnie i bez specjalistycznego sprzętu trudno dopatrzyć się jakiekolwiek różnicy.

Oto przykłady:

Może się wydawać, że obrazy są takie same, ale jeden z nich zawiera złośliwy kod. Świadczy o tym dziwnie rozpikselowanie grafiki po prawej stronie.

Od lewej do prawej widzimy po kolei: czysty obraz, obraz z zawartością złośliwą oraz ten sam zmodyfikowany obraz po obróbce w celu uwypuklenia złośliwego kodu. Jak widać, różnice pomiędzy dwoma pierwszymi obrazami są naprawdę niewielkie. Większość użytkowników prawdopodobnie stwierdziłaby, że drugi obraz jest po prostu nienajlepszej jakości. Prawda jest taka, że wszystkie ciemne piksele wyeksponowane na obrazie po prawej, zawierają dodatkową złośliwą zawartość.

Czy możemy się ochronić?

W tej sytuacji możemy się zastanawiać, czy np. niewyraźne obrazy, które widujemy w mediach społecznościowych, mogą ukrywać niebezpieczny kod. Warto wziąć pod uwagę, że pliki graficzne przesyłane na profile są zazwyczaj mocno kompresowane i modyfikowane. To oznacza, że ukrycie w nich w pełni działającego kodu byłoby bardzo problematyczne nawet dla cyberprzestępców.

– Kluczowe jest jednak to, że metody ukrywania informacji w pikselach oraz inne steganograficzne sztuczki stają się prawdziwym zagrożeniem jedynie w momencie, kiedy specjalistyczny program potrafi odczytać ukryte dane, wydobyć z nich złośliwy kod i aktywować go w naszym systemie. Innymi słowy, jeśli korzystamy z oprogramowania antywirusowego, które zabezpiecza nas przed programem pobierającym złośliwy kod lub przed samym złośliwym kodem, nie musimy tak bardzo martwić się o wykorzystanie steganografii. Dodatkowo, niektóre kody wydobywane z obrazów potrafią wykorzystywać luki w oprogramowaniu, aby dokonać dalszego ataku. Regularne aktualizowanie oprogramowania eliminuje wszystkie luki, na które dostawca oprogramowania udostępnił tzw. „łatki” w danej aktualizacji – wyjaśnia Kamil Sadkowski.

Niestety nie wszystkie cyberzagrożenia jesteśmy w stanie zawczasu dostrzec i ich uniknąć. Dla zwyczajnych użytkowników prawie niemożliwe jest ocenić czy dany obraz jest niewyraźny z powodu niskiej jakości czy ukrytego w nim malware’u. Dlatego ważne jest, aby zawsze przestrzegać wszystkich zasad cyberbezpieczństwa i chronić swoje urządzenia systemami antywirusowymi, które są w stanie dostrzec więcej niż my.

źródło: informacja prasowa
grafiki główna: ChatGPT

TESTY I RECENZJE

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa – komentarze ekspertów bezpieczeństwa IT

Słabe standardy ochrony danych pacjentów w polskich szpitalach i przychodniach

Infinix Note 40 oraz Note 40 Pro trafiły do polskich sklepów. Smartfony wciąż są niedrogie i mają czym się pochwalić

TESTY I RECENZJE

Hama EMW-700 – recenzja. Wertykalna mysz biurowa w bardzo dobrej cenie

Iiyama G-Master Red Eagle GCB3480WQSU-B1 – recenzja. Kolejna szybka panorama z ekranem VA

Lenovo ThinkPad P16v Gen 1 – recenzja. Zmiany, ale bez rewolucji

PORADNIKI

Posiadacze kryptowalut na celowniku – nowe metody działania cyberprzestępców

Jak bezpiecznie wysłać szyfrowane wiadomości oraz udostępniać wrażliwe dane – radzi ekspert ESET

Laptopy biznesowe A.D. 2024 – jak wybrać optymalnie dopasowane narzędzie pracy?

Top 5 laptopów pierwszej połowy 2023 roku

5 aplikacji do zamawiania jedzenia online.

Top 5 – najlepsze 14-calowe laptopy biurowe

Top 5 – notebooki konwertowalne z wyższej półki

PO GODZINACH

Ameryka wypowiada wojnę TikTokowi. Dlaczego lepiej omijać chińską „wideo-społecznościówkę” szerokim łukiem?

25 lat Polski w NATO i 20. rocznica dołączenia do Unii Europejskiej z perspektywy cyberbezpieczeństwa

Diuna: część druga – ni to recenzja, ni to felieton. O Herbercie, Asimovie, Lynchu i Villeneuve’ie i nie tylko.

Lenovo ThinkBook 16p G4 – wideorecenzja

Asus Vivobook S15 (K5504V) – wideorecenzja

Asus ProArt Studiobook 16 OLED (H7604) – wideorecenzja

Samsung ViewFinity S9 (S90PC) – wideorecenzja

share