Złośliwe oprogramowanie w grafikach. Czy rozpoznasz taki obrazek?

Przeczytaj także: DUCKTAIL i DUCKPORT atakują użytkowników Meta Business

Ukrywanie złośliwego kodu w obrazkach może brzmieć niewiarygodnie, ale niestety jest całkiem realne. Umożliwia to technika steganografii, czyli ukrywanie danych wewnątrz innych plików lub mediów. Badacze ESET zauważyli stosowanie tej techniki przez grupę cyberszpiegowską Worok, która ukrywała złośliwy kod w plikach graficznych. Działania te były przeprowadzane na już zaatakowanych systemach, ponieważ ukrywanie złośliwego oprogramowania w obrazach ma zwykle na celu unikanie wykrycia niż uzyskanie inicjalnego dostępu do systemu.

Najczęściej złośliwe obrazy są udostępniane na stronach internetowych lub umieszczane w dokumentach. Aby cyberprzestępcy mogli je wykorzystać, muszą jeszcze umieścić na naszym urządzeniu drugi element układanki, czyli inny rodzaj złośliwego oprogramowania, które będzie w stanie wydobyć złośliwy kod z obrazka i wykonać go – mówi Kamil Sadkowski, analityk laboratorium antywirusowego ESET.

Jak to działa?

Jedną z najbardziej przebiegłych metod wplecenia złośliwego kodu w obraz jest zmiana najmniej znaczącego elementu (bitu) w każdym kolorze piksela – czerwonym, zielonym, niebieskim, a także współczynniku przezroczystości (RGBA), na mały fragment ukrytej wiadomości. Innym sposobem jest wkomponowanie danych jedynie w część obrazu odpowiedzialną za przezroczystość (tzw. kanał alfa). Przestępcy robią to tak subtelnie, że zmiany są prawie niezauważalne. Dzięki temu obraz na pierwszy rzut oka wygląda normalnie i bez specjalistycznego sprzętu trudno dopatrzyć się jakiekolwiek różnicy.

Oto przykłady:

Może się wydawać, że obrazy są takie same, ale jeden z nich zawiera złośliwy kod. Zwróć uwagę, jak dziwnie rozpikselowana jest grafika po prawej stronie.

Od lewej do prawej widzimy po kolei: czysty obraz, obraz z zawartością złośliwą oraz ten sam zmodyfikowany obraz po obróbce w celu uwypuklenia złośliwego kodu. Jak widać, różnice pomiędzy dwoma pierwszymi obrazami są naprawdę niewielkie. Większość użytkowników prawdopodobnie stwierdziłaby, że drugi obraz jest po prostu nienajlepszej jakości. Prawda jest taka, że wszystkie ciemne piksele wyeksponowane na obrazie po prawej, zawierają dodatkową złośliwą zawartość.

Czy możemy się ochronić?

W tej sytuacji możemy się zastanawiać, czy np. niewyraźne obrazy, które widujemy w mediach społecznościowych, mogą ukrywać niebezpieczny kod. Warto wziąć pod uwagę, że pliki graficzne przesyłane na profile są zazwyczaj mocno kompresowane i modyfikowane. To oznacza, że ukrycie w nich w pełni działającego kodu byłoby bardzo problematyczne nawet dla cyberprzestępców.

Kluczowe jest jednak to, że metody ukrywania informacji w pikselach oraz inne steganograficzne sztuczki stają się prawdziwym zagrożeniem jedynie w momencie, kiedy specjalistyczny program potrafi odczytać ukryte dane, wydobyć z nich złośliwy kod i aktywować go w naszym systemie. Innymi słowy, jeśli korzystamy z oprogramowania antywirusowego, które zabezpiecza nas przed programem pobierającym złośliwy kod lub przed samym złośliwym kodem, nie musimy tak bardzo martwić się o wykorzystanie steganografii. Dodatkowo, niektóre kody wydobywane z obrazów potrafią wykorzystywać luki w oprogramowaniu, aby dokonać dalszego ataku. Regularne aktualizowanie oprogramowania eliminuje wszystkie luki, na które dostawca oprogramowania udostępnił tzw. „łatki” w danej aktualizacji – wyjaśnia Kamil Sadkowski.

Niestety nie wszystkie cyberzagrożenia jesteśmy w stanie zawczasu dostrzec i ich uniknąć. Dla zwyczajnych użytkowników prawie niemożliwe jest ocenić czy dany obraz jest niewyraźny z powodu niskiej jakości czy ukrytego w nim malware’u. Dlatego ważne jest, aby zawsze przestrzegać wszystkich zasad cyberbezpieczeństwa i chronić swoje urządzenia systemami antywirusowymi, które są w stanie dostrzec więcej niż my.