¿Puede el malware OnionDuke realmente propagarse a nuevos sistemas a través de una imagen?

Question

¿Puede el malware OnionDuke realmente propagarse a nuevos sistemas a través de una imagen?

#1 de Steffen Ullrich (2 votos)

1

Me doy cuenta de que las preguntas sobre el malware en las imágenes se han hecho antes. Simplemente no parece que respondan las preguntas en esta situación en particular.

Esto es sobre el malware OnionDuke APT que F-Secure informó sobre aquí (tenga en cuenta que este informe está fechado el viernes 14 de noviembre de 2014).

Mi pregunta es sobre la información en este artículo por F-Secure (de acuerdo con que OnionDuke fue encontrado en 2014). Este artículo dice en la p.23:

Sin embargo, en contraste, para OnionDuke y MiniDuke los archivos de imagen vinculados contienen malware incorporado para ser descargado y ejecutado, en lugar de instrucciones.

Y la información en este artículo reciente (también por F -Seguro) que dice lo siguiente:

¿Esta información sobre OnionDuke significa que intenta infectar nuevos sistemas incrustándose dentro de una imagen que se ejecuta cuando la ve un usuario, o es esa imagen para actualizar sistemas que ya están infectados?

windows apt

pregunta user100487 18.11.2015 - 18:25

fuente

1 respuesta

Lea otras preguntas en las etiquetas windows apt

forja de paquetes Scapy WPA2 Abra el puerto TCP en el módem por cable TG1672G

score 2 · Accepted Answer

¿Esta información sobre OnionDuke significa que intenta infectar nuevos sistemas incrustándose dentro de una imagen que se ejecuta cuando la ve un usuario, o es esa imagen para actualizar sistemas que ya están infectados?

A mi entender, la carga útil debe ser extraída de la imagen por una instancia existente del malware o por un dropper. Otra parte del informe lo aclara más, ya que escriben ( El Libro Blanco sobre los Duques , página 14):

Captura de pantalla de un tweet destinado a OnionDuke, con un enlace apuntando a un archivo de imagen que incrusta una versión actualizada de OnionDuke

Por lo tanto, Twitter es parte del comando & La estructura de control y el malware cargarán las instrucciones del tweet, es decir, dónde se puede encontrar la actualización. La incorporación del malware dentro de la imagen se utiliza para hacer que se vea inocente, de modo que los firewalls o los sistemas de detección de violaciones no consideren los datos sospechosos. Y esa imagen se puede colocar fácilmente en muchos sitios de confianza, por lo que es muy probable que la URL de la imagen no se incluya en la lista negra.

La imagen en sí no se utiliza como un vector de vulnerabilidad, ya que verla en el navegador no es dañina. Solo se utiliza como contenedor.