Descubrir cómo los ciberatacantes perfeccionan sus herramientas es fundamental para mantenernos un paso adelante en la ciberseguridad. Recientemente, la innovación ha llegado a través de una técnica conocida como esteganografía, utilizada por la última versión del cargador IDAT para difundir el peligroso Remcos RAT. Este método, que a primera vista podría parecer sacado de novelas de espías, permite a los malhechores ocultar malware dentro de archivos aparentemente inofensivos, complicando su detección.
La esteganografía es una técnica antigua que se ha utilizado durante siglos para ocultar mensajes dentro de medios aparentemente inocuos. En el contexto digital, esto significa incrustar datos dentro de archivos como imágenes, videos o archivos de audio de manera que no alteren perceptiblemente el archivo contenedor. A diferencia del cifrado, que protege el contenido de un mensaje pero no oculta el hecho de que hay un mensaje, la esteganografía esconde el hecho mismo de la existencia del mensaje. Esto la hace particularmente atractiva para los ciberdelincuentes que buscan evitar la detección por parte de software de seguridad.
Conoce más sobre: Esteganografía: El Arte de Ocultar Mensajes
Se detectó que el colectivo de hackers conocido como 'UAC-0184' empleaba imágenes con esteganografía para infiltrar el troyano de acceso remoto (RAT) Remcos en sistemas de una entidad ucraniana con operaciones en Finlandia.
Este grupo, identificado por Trend Micro en ataques a finales de 2023 contra las Fuerzas Armadas de Ucrania usando el mismo tipo de malware, ha mostrado una reciente expansión de sus operaciones. Desde principios de enero de 2024, según análisis de Morphisec, UAC-0184 ha comenzado a dirigir sus esfuerzos hacia organizaciones internacionales vinculadas a sus intereses estratégicos.
Aunque Morphisec ha decidido mantener en reserva los detalles técnicos y la identidad de las entidades afectadas por razones de privacidad, ha revelado cierta información sobre las tácticas de ataque utilizadas por el grupo.
Te podrá interesar: Malware Remcos: Análisis y Cómo Protegerte
La esteganografía, una técnica conocida pero infrecuentemente observada, se basa en ocultar código malicioso dentro de los datos pixelares de imágenes para sortear la detección de soluciones de seguridad que operan con detección basada en firmas.
En general, alterar mínimamente los datos pixelares no cambia significativamente la apariencia visual de la imagen. No obstante, Morphisec notó que, en este caso específico, la imagen resultaba visiblemente distorsionada.
Tal distorsión podría representar un problema para los atacantes solo si se realiza una inspección manual de la imagen. Sin esta, la técnica sigue siendo efectiva para evadir la detección por parte de herramientas de seguridad automáticas.
Imagen PNG comprometida con código oculto incrustado
Morphisec documentó una cadena de ataque que inicia con un correo electrónico de phishing meticulosamente diseñado, pretendiendo provenir de la 3.ª Brigada de Asalto Separada de Ucrania o de las Fuerzas de Defensa de Israel.
Los destinatarios que caen en la trampa y abren el archivo adjunto inician una secuencia de infección que desemboca en la activación de un ejecutable (DockerSystem_Gzv3.exe), el cual, a su vez, lanza un cargador de malware modular denominado 'IDAT'.
"IDAT se distingue por su estructura modular, adoptando estrategias de inyección de código y módulos de ejecución que lo separan de otros cargadores estándar", explica Morphisec.
"Utiliza tácticas avanzadas como la carga dinámica de funciones API de Windows, verificaciones de conectividad HTTP, listas de exclusión de procesos y solicitudes al sistema para eludir la detección".
Para mantener su sigilo, las llamadas a la API no se codifican en el código como texto plano, sino que se resuelven dinámicamente en tiempo de ejecución con una clave de descifrado parte de la cadena de ataque.
IDAT recupera y ejecuta en memoria la carga útil oculta dentro del archivo PNG malicioso, mediante un proceso que implica múltiples fases y módulos que se inyectan en procesos legítimos (Explorer.exe) y archivos DLL (PLA.dll).
El proceso culmina con el desencriptado y ejecución de Remcos RAT, una herramienta maliciosa que facilita a los atacantes una puerta trasera en los sistemas comprometidos para el robo de datos y vigilancia discreta de las víctimas.
Morphisec indica que IDAT también distribuye malware como Danabot, SystemBC y RedLine Stealer, aunque no especifica si estas variantes se encontraron en los ataques a entidades finlandesas o en otras operaciones.
También te podrá interesar: UAC-0050 Group: Un nuevo enfoque para distribuir Remcos RAT
La detección de malware que utiliza la esteganografía es un desafío considerable para los software de seguridad tradicionales. Esto se debe a que estos programas suelen buscar patrones de código malicioso conocidos o comportamientos anómalos, mientras que un archivo que emplea esteganografía no muestra tales señales de alerta hasta que es demasiado tarde. Sin embargo, hay estrategias que las organizaciones y los usuarios pueden implementar para protegerse:
Educación y Concienciación: La primera línea de defensa es la concienciación sobre la ciberseguridad. Educar a los usuarios sobre los riesgos de abrir archivos de fuentes desconocidas o no verificadas puede prevenir muchos ataques.
Análisis de Comportamiento: Utilizar soluciones de seguridad, como un SOC, que no solo se basen en la detección de firmas, sino también en el análisis del comportamiento de los archivos y programas dentro de la red para identificar actividades sospechosas.
Sandboxing: Ejecutar archivos recibidos en un entorno controlado o "sandbox" para observar su comportamiento antes de permitirles acceder a la red principal o a los datos sensibles.
Actualizaciones Constantes: Mantener todos los sistemas y software actualizados para protegerse contra vulnerabilidades conocidas que los ciberdelincuentes pueden explotar.
Análisis Forense Digital: En caso de una infección, el análisis forense digital puede ayudar a identificar cómo se comprometió el sistema y prevenir futuras infecciones.
Conoce más sobre: ¿Qué es un SOC como Servicio?
La esteganografía representa una amenaza cibernética sofisticada y en evolución que requiere una respuesta igualmente sofisticada. A medida que los ciberdelincuentes continúan desarrollando y perfeccionando sus técnicas, es crucial que las organizaciones y los individuos se mantengan vigilantes y educados sobre las mejores prácticas de ciberseguridad. La implementación de estrategias de detección avanzadas y la educación continua sobre los riesgos de seguridad pueden ayudar a proteger contra las tácticas ingeniosas de los atacantes, asegurando la integridad de los sistemas y la seguridad de los datos valiosos.