Một chiến dịch phần mềm độc hại sử dụng kỹ thuật steganography mới đã xuất hiện, lợi dụng các tệp hình ảnh JPEG như một cơ chế phân phối ngầm để phát tán nhiều loại phần mềm đánh cắp mật khẩu.

Các nhà nghiên cứu bảo mật đã phát hiện ra rằng cuộc tấn công tinh vi này sử dụng phương pháp che giấu mã độc bên trong các tệp hình ảnh trông có vẻ vô hại. Điều này khai thác kỹ thuật steganography – một phương pháp đã có từ lâu, thường được dùng để giấu thông điệp hoặc nội dung bí mật bên trong các tệp kỹ thuật số.

Bằng cách này, kẻ tấn công có thể né tránh các hệ thống phát hiện truyền thống và phát tán phần mềm độc hại một cách hiệu quả trên các hệ thống mục tiêu.

Cách thức tấn công

Cuộc tấn công bắt đầu khi nạn nhân vô tình tải xuống hoặc mở một tệp JPEG đã bị nhiễm mã độc trên thiết bị của họ.

• Tệp ảnh này thường được ngụy trang thành nội dung hợp lệ.
• Bên trong hình ảnh chứa các tập lệnh độc hại và tệp thực thi được nhúng sẵn.
• Khi hình ảnh được xử lý trên thiết bị nạn nhân, các mã độc sẽ tự động được trích xuất và thực thi.

Mục tiêu chính của mã độc được nhúng trong tệp JPEG là thu thập thông tin đăng nhập, nhắm đến:

• Trình duyệt web
• Ứng dụng email
• Phần mềm FTP

Điểm khác biệt của cuộc tấn công này

Điểm đặc biệt của phương thức tấn công này là cơ chế phân phối mã độc rất tinh vi:

• Các tập lệnh độc hại không hiển thị trực tiếp trong phần tiêu đề (header) hoặc siêu dữ liệu (metadata) của tệp hình ảnh.
• Thay vào đó, mã độc được giấu bên trong các trường dữ liệu pixel, khiến các thư viện xử lý ảnh thông thường không phát hiện ra điều bất thường.

Khi được kích hoạt, các tập lệnh độc hại sẽ khởi chạy chuỗi tấn công, bao gồm:

• Tải xuống các mã độc bổ sung, chẳng hạn như Vidar, Raccoon và Redline.
• Những công cụ này chuyên thu thập thông tin đăng nhập từ cơ sở dữ liệu ứng dụng, khai thác lỗ hổng bảo mật và gửi dữ liệu bị đánh cắp về máy chủ điều khiển (C2 Server) của kẻ tấn công.

Chi tiết kỹ thuật: Giải mã mã độc trong tệp JPEG

Về mặt kỹ thuật, steganography cho phép thay đổi giá trị pixel trong hình ảnh JPEG để mã hóa dữ liệu độc hại.

• Việc trích xuất dữ liệu này được thực hiện thông qua các trình giải mã (decoder) được nhúng trong tập lệnh tải mã độc (loader script).
• Ví dụ: Kẻ tấn công sử dụng các tệp thực thi Python và C++ để đọc một cụm pixel cụ thể và tái tạo tập lệnh thực thi từ luồng byte đã mã hóa.

Dưới đây là một đoạn mã Python mẫu dùng để giải mã tải trọng độc hại từ hình ảnh bị nhiễm:

Quy trình mã hóa và giải mã trong JPEG

• Trong cuộc tấn công này, kẻ tấn công thực hiện mã hóa tải trọng độc hại vào một tệp JPEG.
• Khi tệp này được mở, các pixel có vẻ vô hại thực chất đã bị chỉnh sửa nhẹ để chứa dữ liệu độc hại.
• Trình tải mã độc sẽ đọc và giải mã dữ liệu từ hình ảnh, sau đó thực thi tập lệnh độc hại trên thiết bị nạn nhân.

📌 Kết luận: Đây là một kỹ thuật tấn công ẩn giấu rất tinh vi, giúp kẻ tấn công vượt qua các cơ chế bảo mật truyền thống và phát tán mã độc đánh cắp mật khẩu một cách hiệu quả.

IOCs

Tham khảo

New Steganographic Campaign Distributing Multiple Malware

New Steganographic Malware Hides in JPG Files to Deploy Multiple Password Stealers