Recientemente los investigadores han descubierto un nuevo tipo de ataque con los dispositivos macOS como objetivo. El ataque en cuestión consistiría en un anuncio que utilizaría esteganografía para ocultar una carga maliciosa dentro de las imágenes de los anuncios con el fin de engañar a los sistemas de seguridad. Tras ser analizado por las empresas de ciberseguridad Confiant y Malwarebytes se confirmó que este malware publicitario al que se le ha atribuido el nombre de “VeryMal” estuvo activo durante dos días entre el 11 y 13 de enero de este año, un breve periodo en el que el anuncio fue visto por al menos 5 millones de usuarios de Mac.
El ataque se llevó a cabo a través de una táctica bastante común que consiste en mostrar alertas de que Flash Player necesita ser actualizado e incita a los usuarios a descargar la actualización en su navegador. Para aquellos que aceptan la descarga las consecuencias son la infección del equipo con el trollano Shlayer. Mientras que en muchas otras ocasiones se utilizan los propios anuncios para enmascarar el malware, en este caso se utiliza el archivo gráfico o la imagen del anuncio para ocultar el código a través de técnicas de estaganografía. El malware extrae el archivo de imagen de una URL concreta y define una función que analiza las familias de fuentes respaldadas por el navegador. En el caso de que la fuente fallase, no pasaría nada, pero en caso de éxito los datos subyacentes serian asociados estableciendo un valor alfanumérico para cada pixel convirtiendo la imagen en una cadena.
Por suerte para aquellos que vieron el anuncio, a pesar de que la imagen contenga código malicioso puede ser vista sin dañar el equipo. Los daños al equipo tienen lugar cuando el código se ejecuta y el navegador te redirige a un enlace que contiene la carga maliciosa. Por el momento la detección de los ataques de malware publicitario se encuentra en un periodo maduro y aunque se vayan descubriendo nuevas formas de combatirlo, los atacantes encuentran nuevos métodos sofisticados para ocultarlo. El malware continúa siendo un problema y durante los últimos años cada vez hay más malware dirigido exclusivamente hacia los productos de Apple lo que nos recuerda la importancia del uso de dobles factores de autenticación.
El ataque se llevó a cabo a través de una táctica bastante común que consiste en mostrar alertas de que Flash Player necesita ser actualizado e incita a los usuarios a descargar la actualización en su navegador. Para aquellos que aceptan la descarga las consecuencias son la infección del equipo con el trollano Shlayer. Mientras que en muchas otras ocasiones se utilizan los propios anuncios para enmascarar el malware, en este caso se utiliza el archivo gráfico o la imagen del anuncio para ocultar el código a través de técnicas de estaganografía. El malware extrae el archivo de imagen de una URL concreta y define una función que analiza las familias de fuentes respaldadas por el navegador. En el caso de que la fuente fallase, no pasaría nada, pero en caso de éxito los datos subyacentes serian asociados estableciendo un valor alfanumérico para cada pixel convirtiendo la imagen en una cadena.
 |
| Figura 1: Malware oculto con esteganografía |
Por suerte para aquellos que vieron el anuncio, a pesar de que la imagen contenga código malicioso puede ser vista sin dañar el equipo. Los daños al equipo tienen lugar cuando el código se ejecuta y el navegador te redirige a un enlace que contiene la carga maliciosa. Por el momento la detección de los ataques de malware publicitario se encuentra en un periodo maduro y aunque se vayan descubriendo nuevas formas de combatirlo, los atacantes encuentran nuevos métodos sofisticados para ocultarlo. El malware continúa siendo un problema y durante los últimos años cada vez hay más malware dirigido exclusivamente hacia los productos de Apple lo que nos recuerda la importancia del uso de dobles factores de autenticación.
Comentarios
Publicar un comentario