С каждым годом варианты распространения вредоносного кода становятся все изобретательнее, и теперь злоумышленники, судя по всему, начали использовать в качестве носителей WAV-файлы.
Вредоносный код прячут в изображениях и в аудиофайлах методом стеганографии — на самом видном месте. Этот метод разработчики такого ПО используют уже более десяти лет, поскольку такие файлы могут легко пройти проверку антивирусами: те часто не проверяют неисполняемые файлы на наличие такого кода. В первую очередь, такие файлы используются для распространения кода, и если ранее носителями были файлы изображений JPEG и PNG, то недавно сообщили о двух случаях, когда вредоносный код спрятали в WAV-файлах.
Первый случай связан с российской группой Waterburg (или Turla), которая зашила в WAV-файлы код и со своего сервера распространяла их по уже инфицированным компьютерам. Об этом случае летом сообщила Symantec.
Второй случай обнаружила BlackBerry Cylance — похожий, но отличающийся по масштабу. Если летом действовала группа, задействованная в кибер-шпионаже, то в случае Cylance центром оказалась ничем не примечательная криптоферма. В WAV-файлах прятались DLL. Вредоносное ПО, находясь на зараженном компьютере, качает WAV-файл, побитово выделяет из него библиотеку и запускает, устанавливая приложение XMRrig для майнинга криптовалюты.
Создание таких файлов — непростая задача, поскольку требует глубокого понимания структуры WAV-формата. Как справляться с ними? Никак. Сами по себе, без дополнительного ПО, извлекающего из них вредоносный код, такие файлы безопасны, и самое важное для систем защиты — определять точку входа или же понимать, какое ПО запускает код, спрятанный с помощью стеганографии.
Но рипы качать теперь придется с опаской.