Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Osadzony PNG – funkcja szkodliwa ukryta w pliku PNG

Dodany 1 kwietnia 2016, 11:19 CEST
Tagi:

Jednym z najbardziej złożonych zadań cyberprzestępców jest sprawienie, aby ich szkodliwy kod nie został wykryty przez oprogramowanie antywirusowe i zrealizował swój cel. W tym celu dużo inwestują w bardziej złożone procesy infekcji, wykraczając poza tradycyjne ataki phishingowe i wykorzystując techniki, w których funkcja szkodliwa jest ukryta w zaszyfrowanych plikach – nawet posługując się znanym formatem pliku. Właśnie to odkryliśmy w nowym trojanie brazylijskim występującym na wolności: szkodnik ten próbuje ukryć szkodliwe pliki w obrazku PNG. Atak rozpoczyna się od prostego phishingowego dokumentu PDF. 

Rozprzestrzenianie szkodliwego oprogramowania

Wygląda na to, że brazylijscy cyberprzestępcy czytają wiadomości dotyczące bezpieczeństwa – o tego rodzaju ataku pisano kilka miesięcy temu w Stanach Zjednoczonych, a teraz ta sama metoda jest wykorzystywana w Brazylii. Widoczny w tej kampanii aspekt phishingowy dotyczy rozprzestrzeniania dokumentu PDF załączonego do wiadomości e-mail. Plik jest czysty. Jest to ten sam rodzaj ataku jak ten wykorzystywany do rozprzestrzeniania pliku wykonywalnego lub pliku .ZIP zawierającego w swojej nazwie rozszerzenie .pdf.    

br_png_encrypted_en_1.png

Załączony PDF zawiera tekst powszechnie występujący w treści wiadomości, podczas gdy odsyłacz (patrz zrzut ekranu poniżej) przekierowuje użytkownika do szkodliwego pliku.

br_png_encrypted_en_2_auto.png

Dokładniejsza analiza zawartości dokumentu PDF ujawnia szkodliwy odsyłacz jak również adres URL narzędzia wykorzystywanego do generowania dokumentu PDF z zawartości HTML.

br_png_encrypted_3_new_auto.png

Szkodliwa funkcja

Odsyłacz „skłania” do pobrania szkodliwego pliku JAR, który pobiera plik ZIP zawierający inne pliki. Wśród tych plików znaleźliśmy trzy, które nie zawierały żadnego rozszerzenia, ale posiadały nagłówek pliku PNG (Portable Network Graphics), który jest popularnym formatem grafiki. Nagłówek pokazuje zwykle typ pliku, który zostanie wykorzystany w celu otwarcia pliku. Coś podobnego wykryto kilka lat temu w plikach BMP. 

br_png_encrypted_en_4_auto.png

Analizując plik, można zobaczyć, że jest to obraz jednolitego koloru o rozdzielczości 63 x 48 pikseli, jednak rozmiar pliku wynosi 1,33 MB i jest zbyt duży jak na ten konkretny obrazek. Analizując plik binarny, który wykonuje pewne operacje na tych plikach, zidentyfikowaliśmy funkcję, która ładuje pliki PNG do pamięci:    

br_png_encrypted_en_5_auto.png

Funkcja ta odpowiada za ładowanie pliku PNG do pamięci, odszyfrowując i wykonując wydobyty plik binarny przy użyciu techniki znanej jako RunPE, w której szkodliwy kod jest wykonywany w kontekście innego procesu, w tym przypadku - iexplore.exe. 

Na podstawie tego kodu mogliśmy wywnioskować, że plik PNG miał rozmiar jedynie 179 bajtów (0xB3) – pozostała zawartość to zaszyfrowany szkodliwy plik.

br_png_encrypted_en_6_auto.png

Na tej podstawie zdołaliśmy napisać skrypt umożliwiający rozszyfrowanie zawartości plików PNG.

br_png_encrypted_en_7_auto.png

Przy użyciu klucza, który można znaleźć w kodzie szkodliwego oprogramowania, jesteśmy w stanie odszyfrować pliki.

br_png_encrypted_en_8_auto.png

Zakończenie

Ataki brazylijskie ewoluują z każdym dniem, stając się coraz bardziej złożone i skuteczne. Dlatego trzeba być czujnym w przypadku wiadomości e-mail z nieznanych źródeł, zwłaszcza tych zawierających odsyłacze i załączone pliki.

Ponieważ funkcja szkodliwa hostowana w pliku PNG nie może zostać wykonana bez uruchomienia, nie może służyć jako główny moduł infekujący, który jest zwykle dostarczany na skrzynkę pocztową, dlatego musi zostać zainstalowana przez inny moduł.  

Technika ta pozwala przestępcom skutecznie ukryć plik binarny wewnątrz pliku, który wygląda jak obraz PNG. To również utrudnia firmom antywirusowym proces analizy jak również obejście automatycznego procesu w celu wykrycia szkodliwych plików na serwerach hostingowych.

Pliki związane z tym atakiem są wykrywane przez produkty Kaspersky Lab jako:

Trojan.Win32.KillAv.ovo
HEUR:Trojan.Win32.Generic
Trojan-Downloader.Win32.Banload.cxmj
Trojan-Downloader.Win32.Agent.hgpf
HEUR:Trojan-Downloader.Java.Generic

Adresy URL związane z opisywanym atakiem są również blokowane przez produkty Kaspersky Lab.