Durante a análise de diversas campanhas de espionagem e crimes virtuais, os pesquisadores da Kaspersky Lab identificaram uma nova tendência preocupante: hackers mal-intencionados estão usando cada vez mais a esteganografia — a versão digital de uma técnica antiga — para ocultar mensagens em imagens. Com isso, o objetivo é encobrir as pistas de sua atividade maliciosa no computador da vida. Recentemente, foram descobertas várias operações de malware voltadas à espionagem virtual e diversos exemplos de malwares criados para roubar informações financeiras que utilizam essa técnica.
Leia mais:
Gartner indica cinco tendências em cibersegurança para 2017 e 2018
Hábito de compartilhar demais na internet coloca sua segurança digital em grande perigo
Da mesma forma que nos ataques virtuais direcionados típicos, o agente da ameaça, depois de invadir a rede, se estabelece e coleta informações valiosas para depois transferi-las para o servidor de comando e controle (C&C). Na maioria dos casos, as soluções de segurança confiáveis ou as análises de segurança feitas por profissionais são capazes de identificar a presença do hacker na rede, inclusive durante a extração de dados. Isso porque, durante a extração, são deixados rastros, como o registro de conexões com um endereço IP desconhecido ou incluído em listas negras.
No entanto, quando se usa a esteganografia, a tarefa de detectar a extração de dados torna-se complicada. Nesse cenário, os usuários maliciosos inserem as informações que serão roubadas diretamente no código de um arquivo comum de imagem ou de vídeo, que é então enviado para o servidor C&C. Dessa forma, é pouco provável que esse evento acione qualquer alarme de segurança ou tecnologia de proteção de dados.
Após a modificação pelo invasor, a própria imagem não é alterada visualmente. Seu tamanho e a maioria dos outros parâmetros também permanecem iguais e, assim, ela não seria motivo de preocupação. Isso torna a esteganografia um método lucrativo para os agentes mal-intencionados como opção de extração de dados de uma rede invadida.
Nos últimos meses, a Kaspersky Lab observou pelo menos três operações de espionagem virtual que utilizam essa técnica. E ela também está sendo ativamente adotada por criminosos virtuais regulares, além dos agentes de espionagem virtual. Os pesquisadores detectaram sua utilização em versões atualizadas de cavalos de Troia como o Zerp, ZeusVM, Kins, Triton e outros. A maioria dessas famílias de malware, de modo geral, visa organizações financeiras e usuários de serviços financeiros.
Alexey Shulmin, pesquisador de segurança da Kaspersky Lab, diz que, até o momento, não foi descoberta nenhuma forma de detectar a extração de dados conduzida dessa maneira. Embora existam algoritmos que poderiam indicar o uso da técnica, implementá-lo em grande escala exige enorme capacidade de computação e custos altos.
“Por outro lado, é relativamente fácil identificar uma imagem ‘carregada’ com dados sigilosos roubados pela análise manual. No entanto, esse método tem limitações, pois um analista de segurança seria capaz de analisar um número muito limitado de imagens. Talvez a resposta esteja na mistura dos dois”, diz. “Contudo, essa área ainda deve ser aperfeiçoada, e o objetivo de nossas investigações é chamar a atenção do setor para a questão e impor o desenvolvimento de tecnologias confiáveis, mas financeiramente viáveis, que permitam a identificação da esteganografia nos ataques de malware”, complementa Shulmin.