Los Hackers Ocultan Malware en Imágenes de Sitios Web de Confianza

Un nuevo informe de HP Wolf Security destaca alarmantes avances en las tácticas de entrega de malware, incluyendo la incrustación de código malicioso en imágenes aparentemente inocuas alojadas en plataformas legítimas.

Uno de los hallazgos más destacados implica campañas de malware que insertaron código perjudicial en archivos de imágenes. Estas imágenes se subieron a archive.org, un sitio web de intercambio de archivos de confianza, para evitar sospechas. Al hacer esto, los hackers pudieron burlar medidas de seguridad comunes, como los filtros de red, que a menudo se basan en la reputación de un sitio web.

Se propagaron dos tipos de malware utilizando esta táctica: VIP Keylogger y 0bj3ctivityStealer. Ambos están diseñados para robar información sensible como contraseñas y detalles de tarjetas de crédito.

Los hackers enviaron correos electrónicos fingiendo ser facturas o pedidos de compra para engañar a las empresas y que descargaran archivos maliciosos. Estos archivos contenían documentos que, al abrirse, desencadenaban una reacción en cadena.

El proceso incluía la descarga de un archivo de imagen aparentemente inofensivo de archive.org. Dentro de la imagen se encontraba un malware codificado, que luego se instalaría en la computadora de la víctima.

Una imagen vinculada a esta campaña fue vista casi 29,000 veces, lo que da una idea de la gran escala del ataque.

Una vez que se descarga la imagen, un fragmento de código extrae y descodifica el malware oculto en su interior. El malware entonces se ejecuta en el dispositivo de la víctima, registrando pulsaciones de teclas, robando contraseñas e incluso tomando capturas de pantalla. Para hacer el ataque persistente, el malware modifica el registro del ordenador, asegurando que se inicie cada vez que se enciende el ordenador.

El informe dice que este método de ocultar código malicioso en imágenes es particularmente efectivo porque explota plataformas legítimas, lo que dificulta que las herramientas de seguridad tradicionales lo detecten.

Las investigadoras añaden que estos incidentes resaltan la eficiencia de reutilizar kits y componentes de malware, ya que ambas campañas emplearon el mismo cargador .NET para instalar sus respectivas cargas útiles. Este enfoque modular no sólo agilizó el proceso de desarrollo para los actores de amenazas, sino que también les permitió centrarse en perfeccionar técnicas para evitar la detección.

La incrustación de código malicioso en imágenes no es una táctica nueva, pero representa un resurgimiento en su popularidad debido a los avances en los métodos de ofuscación y entrega. El informe enfatiza la necesidad de una protección mejorada del punto final y de formación de concienciación de los empleados para contrarrestar tales amenazas sofisticadas.

A medida que los ciberdelincuentes continen innovando, aprovechando herramientas y plataformas legítimas, el informe sirve como un severo recordatorio del cambiante panorama de amenazas cibernéticas. Los equipos de seguridad deben permanecer vigilantes, adoptar medidas proactivas y mantenerse informados para mitigar los riesgos que plantean estas amenazas emergentes.