Para criminosos cibernéticos, o malware de imagem é a maneira ideal de lançar um ataque surpresa. A grande maioria dos usuários não espera que um simples arquivo de imagem seja remotamente arriscado. Isso torna ataques como o “Stegosploit” particularmente perigosos para empresas e usuários privados.

A higienização de dados (CDR) bloqueia esse tipo de ataques, como explicamos abaixo.

O que é Stegosploit?

Stegosploit é um tipo de malware que é inserido em certas seções de dados extras de uma imagem. O malware é código JavaScript que pode ser carregado e executado por um navegador. O script pode baixar automaticamente cargas maliciosas, carregar dados e executar códigos maliciosos.

O notável é que o malware é inserido em uma imagem e a imagem ainda parece inofensiva. Por essa razão, é difícil detectar e bloquear esse tipo de ataque.

O malware transmitido por imagens já é um risco há algum tempo, mas o termo “Stegosploit” foi cunhado pelo pesquisador de segurança cibernética Saumil Shah em uma apresentação em uma conferência de segurança cibernética em 2015. Shah descreveu um método pelo qual javaScript poderia ser escondido em uma imagem de tal forma que um navegador executaria o código ao carregar a imagem.

O nome “Stegosploit” vem da palavra “esteganografia”, que se refere a uma técnica de ocultar informações escondendo-as em uma imagem, em vídeo ou em outro texto.

Arquivos BMP, GIF, JPG e PNG potencialmente maliciosos

Os seguintes formatos de imagem podem transportar Stegosploit: BMP, GIF, JPG e PNG. (Arquivos SVG também podem ser usados como veículos para malware.)

  • Para arquivos BMP e GIF, o malware é anexado no final dos dados binários de imagem. A imagem é então referida pela tag img em um arquivo HTML e usada como um arquivo de script na tag de script. Quando aberto, o arquivo HTML mostrará a imagem e executará o script.
  • Para arquivos JPG, o malware é inserido no segmento APP0 da imagem.
  • Para arquivos PNG, o malware é inserido em pedaços tEXt da imagem.

Usando a Desinfetização de dados OPSWAT (CDR) para remover malware

A equipe da OPSWAT criou amostras de Stegosploit para cada um desses tipos de arquivos, e as usamos para testar se nossa tecnologia de higienização de dados (CDR) protegeria os usuários do Stegosploit.

As imagens de amostra que criamos continham um script que, quando executado, resultou neste popup inofensivo aparecendo. (Um invasor, em vez disso, desencadearia uma ação mais maliciosa.) A captura de tela abaixo é de um script escondido dentro de um arquivo BMP.

image

Um arquivo BMP oculta JavaScript

image

Arquivo de imagem usado como script

Em seguida, higienizamos as imagens. Quaisquer dados incorporados, incluindo scripts, foram removidos como inválidos pelo processo de higienização de dados.

Ainda podíamos abrir o arquivo de imagem normal, mas o script tinha sido removido. Embora neste caso o script fosse inofensivo e apenas desencadeasse um popup, um invasor poderia esconder scripts muito mais perigosos dentro das imagens.

Testamos a higienização de dados com os seguintes tipos de arquivo:

  • BMP
  • GIF
  • JPG
  • PNG

image

Cópia de uma das imagens da amostra após a higienização — a imagem ainda parece normal

Conclusão

Depois de testar nossa higienização de dados em imagens com malware, concluímos que a higienização de dados (CDR) realmente fornece proteção contra ataques do Stegosploit, retirando os scripts desnecessários e maliciosos.

Além disso, a higienização de dados funciona com vários tipos de arquivos de imagem. Saiba mais sobre a higienização de dados.

Artigo Original