As ameaças à segurança cibernética continuam a evoluir com métodos de evasão sofisticados. Surgiu um novo carregador de malware baseado em .NET que demonstra uma abordagem avançada para ocultar o notório trojan Lokibot em arquivos de imagem.
Esse sistema de entrega de carga útil em vários estágios usa esteganografia, uma técnica que incorpora dados ocultos em arquivos de aparência legítima, tornando a detecção significativamente mais desafiadora para ferramentas e analistas de segurança.
O malware opera como um carregador de esteganografia capaz de extrair e executar o Lokibot de arquivos de imagem PNG e BMP.
Os investigadores de segurança identificaram esta ameaça como parte de uma campanha de ataque em expansão que visa organizações em todo o mundo.
O invasor aproveita os contêineres de arquivos de imagem porque o software antivírus e os gateways de e-mail geralmente colocam arquivos de imagem na lista de permissões como seguros, presumindo que não representem nenhum risco.
Esta suposição tornou-se uma vulnerabilidade crítica na infra-estrutura de segurança moderna. O mecanismo de entrega normalmente envolve e-mails de phishing ou sites comprometidos que hospedam o carregador inicial.
Outra variante do fluxo de execução do carregador de esteganografia NET (fonte – Splunk)
Uma vez executado, o malware recupera arquivos de imagem contendo cargas ocultas do Lokibot de servidores remotos. O processo de incorporação esteganográfica manipula dados de pixel dentro dos arquivos de imagem, usando especificamente canais de cores RGB para armazenar código executável codificado.
Essa técnica torna as imagens funcionalmente intactas enquanto carrega silenciosamente conteúdo malicioso. Os pesquisadores de segurança do Splunk observaram que o malware representa uma mudança significativa na estratégia de evasão.
Os métodos tradicionais de detecção dependem da identificação de assinaturas de arquivos suspeitos ou padrões de comportamento, mas a esteganografia baseada em imagens contorna essas defesas, ocultando executáveis em arquivos que parecem inócuos.
Os pesquisadores descobriram que o carregador usa uma rotina de descriptografia personalizada para extrair a carga real do Lokibot após a recuperação, adicionando outra camada de ofuscação que atrasa a análise e a detecção.
Uma vez implantado, o Lokibot funciona como um ladrão de informações projetado para coletar credenciais e dados confidenciais de sistemas infectados.
O malware tem como alvo históricos de navegadores, senhas salvas e tokens de autenticação específicos de aplicativos, tornando-o particularmente perigoso para ambientes corporativos onde os funcionários acessam vários serviços em nuvem.
O mecanismo de incorporação esteganográfica
Compreender como o malware oculta o código nos arquivos de imagem revela a sofisticação técnica desse ataque. O carregador .NET contém arquivos PNG e BMP incorporados em sua seção de recursos.
Esses arquivos de imagem foram criados especificamente para conter a carga útil do Lokibot codificada em vários valores de pixel.
Ferramenta de extração PixDig (fonte – Splunk)
O processo de codificação aproveita o formato de cores ARGB, onde cada pixel contém dados dos canais alfa, vermelho, verde e azul.
Os invasores manipulam esses valores de canal para transportar bytes codificados do executável malicioso real. O processo extrai valores de pixels individuais, converte-os em sequências hexadecimais e remonta esses bytes em um módulo PE completo.
O arquivo extraído resultante é normalmente uma DLL, como “captive.dll”, que serve como um estágio intermediário que descriptografa e executa o trojan Lokibot final.
Essa abordagem aninhada significa que as ferramentas de segurança devem contornar com sucesso múltiplas camadas de criptografia e codificação para alcançar a ameaça real.
A elegância dessa técnica reside em sua capacidade de distribuir malware usando arquivos que falham na análise de conteúdo, passam nas verificações de validação de tipo de arquivo e ignoram filtros de gateway projetados para métodos tradicionais de detecção de carga útil.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
