Hace poco se ha «viralizado» una imagen de Mario (de Super Mario Bros), la cual, mediante métodos de esteganográfia, oculta un código malicioso en los píxeles de la imagen que descarga un malware bancario llamado «Ursnif».
Matthew Rowen y Tim Howes, investigadores de Bromium, encontraron un archivo de excel que ejecutaba diferentes macros. De entre las diferentes macros, hay una que verifica el lugar en el cual se ha ejecutado el excel, si estás en Italia, otras macros, las cuales descargan código malicioso, se van a ejecutar inmediatamente. Estas van a descargar la imagen de Mario, que a su vez, ejecutará código PowerShell descargando así diferentes malware en tu equipo.
El uso de técnicas de esteganográfia son utilizadas por los ciberdelincuentes para ocultar contenido malicioso en archivos multimedia sin ser detectado, esto hace que los usuarios «se confíen» a la hora de abrir el contenido. En este caso, utilizaron 4 bits más bajos en los tonos azules, que aunque el ojo humano no aprecie el cambio, es suficiente espacio para ocultar un código.
El código resultante después de analizar la imagen daba un código PowerShell muy ofuscado, pero no tardaron mucho en darse cuenta de que en realidad estaba cifrado en base64 y al limpiar el código obtuvieron la versión final, la cual descarga los malware en los equipos.
Y vosotros ¿Que pensáis de todo esto?