¿Puede un archivo de imagen con stegano ser malware cuando se guarda en algún lugar?

3

Estaba leyendo un artículo sobre malware activo en banners publicitarios, limitado a sistemas con navegadores IE con algunas configuraciones.

Millones expuestos a malvertising que ocultaba el código de ataque en píxeles de banner

  

Los investigadores del proveedor de antivirus Eset dijeron "Stegano", ya que apodaron la campaña, se remontan a 2014. A principios de octubre, sus operadores inusualmente sigilosos obtuvieron un gran golpe al publicar los anuncios en una variedad de reputados nombres. Sitios de noticias, cada uno con millones de visitantes diarios. Tomar prestado de la palabra esteganografía (la práctica de ocultar mensajes secretos dentro de un documento más grande que se remonta a al menos 440 aC) Stegano oculta partes de su código malicioso en parámetros que controlan la transparencia de los píxeles utilizados para mostrar anuncios de banner. Si bien el código de ataque altera el tono o el color de las imágenes, los cambios son casi invisibles para el ojo no entrenado.

     

Para ejecutar la carga útil oculta, los anuncios maliciosos cargan una versión muy modificada de Countly, un paquete de código abierto para medir el tráfico del sitio web. Ese JavaScript extrae el código oculto de la imagen y lo ejecuta. Debido a que no hay nada malicioso en sí mismo en el JavaScript, las redes publicitarias no detectan lo que está sucediendo.

¿Es posible que un archivo javascript (o de otro tipo) guardado en un hd, pueda estar activo cuando la conexión a Internet esté en línea?

    
pregunta Tech-IO 10.12.2016 - 18:15
fuente

2 respuestas

1

Los archivos no son inherentemente peligrosos; Los archivos de ataque como este son programas que deben ejecutarse o hacen uso de problemas en otro programa cuando se cargan en ese programa como datos.

De tu artículo:

  

Para ejecutar la carga útil oculta, los anuncios maliciosos cargan una versión muy modificada de Countly, un paquete de código abierto para medir el tráfico del sitio web. Ese JavaScript extrae el código oculto de la imagen y lo ejecuta.

Es decir, la imagen contiene un pequeño programa de JavaScript, que se extrae y ejecuta mediante un código que la red de anuncios coloca en una página web, y al ver esa página web, su navegador lo ejecuta.

Si la imagen simplemente se sentara en tu disco duro, no pasará nada. Si lo abres en un editor de imágenes, no pasa nada. Tienes que ejecutarlo .

Ahora, muchas piezas de malware aprovecharán las vulnerabilidades del software de visualización de imágenes, reproductores de audio, etc., por lo que generalmente no es seguro abrir archivos sospechosos en ellos; No quiero decir que los navegadores web sean la única forma de ejecutar un exploit. De manera similar, el malware a menudo intentará agregarse a la lista de "ejecutar en el arranque" de una máquina, para que el sistema operativo la ejecute automáticamente. Pero en este caso específico, parece que el exploit se ejecuta a través de un navegador.

De todos modos, cuando se ejecuta, un exploit puede hacer (más o menos) lo que quiera, así que sí, podría verificar la presencia de una conexión de red válida. Se menciona que éste realiza una serie de comprobaciones para probar y determinar si se está ejecutando en un entorno de comprobación de vulnerabilidades, y probablemente sean mucho más sofisticados que simplemente verificar si puede acceder a un servidor externo. Pero, de nuevo, esto solo puede suceder si se está ejecutando .

    
respondido por el Xiong Chiamiov 10.12.2016 - 18:38
fuente
0

Es posible tener archivos "políglotas" que son ambos un archivo de imagen válido, pero también tiene un código malicioso incrustado en ellos . También puede haber fallas en una aplicación específica activada al leer un archivo con ciertos atributos incrustados en los metadatos o en la parte de "datos" del propio archivo.

En última instancia, el archivo debería ejecutarse o verse de alguna manera. Un archivo de imagen que simplemente se sienta en un sistema de archivos no se ejecutará por sí solo, pero es posible que el código de explotación pueda ejecutarse cuando el archivo es analizado por un antivirus, una aplicación de indexación de búsqueda o algún otro proceso que intente ver o ejecutar el archivo.

No es que el navegador esté descargando el archivo, es que el archivo de imagen malintencionada está siendo ejecutado por el navegador.

    
respondido por el Eric G 12.12.2016 - 15:02
fuente

Lea otras preguntas en las etiquetas