Tehnika skrivanja zlonamjernog koda u sofisticiranim slikovnim datotekama, zaobilazeći antivirusni softver

· Sanja Ledinek

Tehnika skrivanja zlonamjernog koda u sofisticiranim slikovnim datotekama, zaobilazeći antivirusni softver

Evo što smo saznali o nedavnoj kampanji koja koristi steganografiju i Base64 enkodiranje za skrivanje zlonamjernog koda u JPEG slike:

Kako djeluje ovaj napad?

Dostava slike

• Napadač pošalje e-mail, poruku ili veza na JPEG s zlonamjernim Base64 sadržajem skrivenim iza EOI (End of Image) markera virusbulletin.com.
• Korisnik preuzme i otvori sliku običnim preglednikom – ništa ne izgleda sumnjivo.

 Ekstrakcija i dekodiranje

• Zlonamjerni pomoćni skript (PowerShell/VBS/C) analizira sadržaj slike, traži nedopuštene Base64 oznake (npr. “TVqQ…” koje predstavlja “MZ”) .
• Prilagođeni Base64 trik (zamjena slova ‘A’ s ‘@’) izbjegava antiviruse .
• Sadržaj se dekodira u PE (DLL izvršni fajl).

 Pokretanje maliciozne funkcije

• DLL se ili injektira u legitiman proces (process hollowing), ili se zove direktno.
• Na taj način leteće ispod radara postojećih antivirusnih sustava .

 Daljnji koraci i lanac napada

• Zlonamjerni kod može:
o Pokrenuti keylogger (kao XWorm) virusbulletin.com+3sarviyamalwareanalyst.medium.com+3reddit.com+3
o Izvesti eksfiltraciju podataka
o Povezati se s C&C serverima
• Ovaj proces često je dio slojevitog napada: phishing → dokumenat → skript → slika (steganografija) → payload

 Zašto napad “prolazi”?

• Bez obrada u standardnom softveru za slike – slike izgledaju normalno, što antivirusi često ne skeniraju .
• Base64 varijacije poput zamjene slova A otežavaju automatsko otkrivanje i zaobilaze potpise .
• Multistage napad: slika sama po sebi ne izvršava kod, ali je dio šireg lanca – može se aktivirati preko ranjivih Office dokumenata, VBS/PowerShell skripti ili payload loadera.
“Hidden scripts in a registry run PowerShell, which fetches an image file that secretly contains a hidden DLL payload.”

 Preporuke za zaštitu

1. Ne otvarajte nepoznate slike ili linkove, osobito iz e-mailova i sumnjivih izvora.
2. Koristite dinamičku analizu – alati poput sandboxova, jpegdump.py, ANY.RUN mogu otkriti skriveni sadržaj any.run.
3. Ažurirajte softver – naročito biblioteke za obradu slika, Office pakete, PDF prikazivače.
4. Uvedite slojevitu zaštitu – e-mail filteri, DLP rješenja, behavior monitoring za otkrivanje neočekivanih PowerShell aktivnosti.

Zaključak: Ove metode su sve sofisticiranije, koristeći formate koji najčešće prođu neprimijećeno. Ključ obrane je slojevita zaštita: oprez, ažuriranja i alati za dubinsku analizu.

DRUGE NOVOSTI