Pesquisadores da Cylance descobriram em arquivos de áudio padrão WAV um código malicioso ofuscado (ou disfarçado, para não ser detectado). Cada arquivo WAV foi acoplado a um componente do carregador para decodificar e executar conteúdo malicioso secretamente tecido em todos os dados de áudio do arquivo. Quando executados, alguns dos arquivos contaminados até produziam música sem problemas de qualidade ou falhas. Outros simplesmente geravam sons como de eletricidade estática (ruído branco). Cada arquivo WAV foi acoplado a um componente carregador para decodificar e executar o conteúdo malicioso secretamente “costurado” pelo meio dos dados de áudio.
Essa estratégia de esconder arquivos dentro de arquivos se chama esteganografia. Foi e continua sendo utilizada por exemplo por pedófilos para distribuir imagens proibidas, dando a impressão de que estão enviando imagens sem conteúdo criminoso. A equipe da Cylance descobriu que alguns dos arquivos WAV analisados continham código do minerador XMRig Monero. Outros incluíam o código da plataforma de ataque Metasploit para estabelecer um shell reverso e assim comunicar-se com o atacante. Ambas as descobertas estavam no mesmo ambiente, sugerindo a existência de uma dupla campanha – para implantar malware que ao mesmo tempo obtém ganhos financeiros e estabelece acesso remoto na rede da vítima.
Os cibercriminosos criaram três versões de código, mas cada uma delas permite sua execução a partir de um formato de arquivo benigno. Essas técnicas demonstram que o conteúdo executável pode, teoricamente, estar oculto em qualquer tipo de arquivo, desde que o invasor não corrompa a estrutura e o processamento do formato do contêiner (neste caso, o arquivo WAV). A adoção dessa estratégia introduz uma camada adicional de ofuscamento, porque o código é revelado apenas na memória, tornando a detecção mais problemática.
Com agências internacionais