Grupo Witchetty usou técnica de esteganografia em símbolo do Windows para dificultar detecção do malware.

Não duvido que algumas pessoas odeiam o Windows a ponto de considerar o seu logotipo algo maligno. O que ninguém espera é que um grupo hacker leve essa impressão a sério. Os membros do Witchetty ocultaram um cavalo de troia dentro de um antigo logotipo do sistema operacional. Como? Por meio de esteganografia.

A ideia é sofisticada, mas não desconhecida. A esteganografia é uma técnica que esconde informações dentro de uma imagem, vídeo ou outro tipo de arquivo. Frequentemente, essa “arte” é usada para dificultar o rastreamento da mensagem a ser enviada.

É o caso aqui. A Symantec relata que o Witchetty inseriu um cavalo de troia (backdoor) em uma imagem bitmap do logotipo que a Microsoft usava no Windows 7. O malware foi ocultado ali por meio de um algoritmo de criptografia XOR, que segue princípios específicos da lógica booleana.

Imagens não costumam levantar suspeitas em sistemas de segurança, a não ser que elas sejam malwares renomeados para formatos do tipo. É por isso que o truque da esteganografia pode funcionar. Há um código malicioso escondido ali, mas a imagem não deixa de ser verdadeira.

Começa com vulnerabilidades

No entanto, o ataque não começa com a imagem em si. Na verdade, os hackers exploram pelo menos dois conjuntos de falhas conhecidas no Microsoft Exchange — ProxyLogon e ProxyShell — para invadir servidores vulneráveis.

A ação é executada por dois backdoors: o X4 no primeiro estágio; o Looback no segundo. Este último tem um carregador de DLL que se encarrega de baixar a imagem de um repositório no GitHub, que é um hospedeiro confiável.

Pode haver outras fontes tão ou mais confiáveis. Isso porque, como o malware está oculto em um bitmap real, esses serviços não conseguem detectá-lo, pelo menos não facilmente.

Depois de o arquivo ser baixado, a extração do Backdoor.Stegmap, como o malware é chamado, ocorre a partir de uma decodificação feita com uma chave XOR. A partir daí, a ameaça pode executar uma série de ações. Copiar ou apagar arquivos, iniciar processos e baixar outras cargas maliciosas estão entre elas.

Depois vem a espionagem

Os procedimentos a serem executados dependem do alvo e do objetivo. De acordo com a Symantec, o Witchetty (também conhecido como LookingFrog) realiza espionagem. Neste ano, o grupo teria executado ações contra governos de dois países do Oriente Médio e uma bolsa de valores na África, só para dar exemplos recentes.

Existe a suspeita de que o Witchetty tenha ligação com o grupo hacker APT10 que, por sua vez, teria ligações com o governo chinês.

Detectar uma carga maliciosa escondida via esteganografia é difícil, mas a ação maliciosa pode ser bloqueada por meio de sistemas de verificação de intrusos, por exemplo.

Mas a prevenção continua sendo o melhor remédio. Medidas simples podem ser suficientes, como instalar atualizações de software. Para você ter ideia, as mencionadas vulnerabilidades no Exchange foram corrigidas no ano passado pela Microsoft.

Fonte: Tecnoblog