Chyba wszyscy już wiemy, że niebezpieczne wirusy mogą być przesyłane do nas w mailach, w formie załączników czy linków. Cyberprzestępcy mają jednak także inne metody. Potrafią ukryć złośliwe oprogramowanie w grafikach. Czy da się rozpoznać takie obrazki? Jak się ochronić przez tym zagrożeniem?
Ukrywanie złośliwego kodu w obrazkach może brzmieć niewiarygodnie, ale niestety jest całkiem realne. Umożliwia to technika steganografii, czyli ukrywanie danych wewnątrz innych plików lub mediów. Badacze ESET zauważyli stosowanie tej techniki przez grupę cyberszpiegowską Worok, która ukrywała złośliwy kod w plikach graficznych. Działania te były przeprowadzane na już zaatakowanych systemach, ponieważ ukrywanie złośliwego oprogramowania w obrazach ma zwykle na celu unikanie wykrycia niż uzyskanie inicjalnego dostępu do systemu.
– Najczęściej złośliwe obrazy są udostępniane na stronach internetowych lub umieszczane w dokumentach. Aby cyberprzestępcy mogli je wykorzystać, muszą jeszcze umieścić na naszym urządzeniu drugi element układanki, czyli inny rodzaj złośliwego oprogramowania, które będzie w stanie wydobyć złośliwy kod z obrazka i wykonać go – mówi Kamil Sadkowski, analityk laboratorium antywirusowego ESET.
Jak to działa?
Jedną z najbardziej przebiegłych metod wplecenia złośliwego kodu w obraz jest zmiana najmniej znaczącego elementu (bitu) w każdym kolorze piksela – czerwonym, zielonym, niebieskim, a także współczynniku przezroczystości (RGBA), na mały fragment ukrytej wiadomości. Innym sposobem jest wkomponowanie danych jedynie w część obrazu odpowiedzialną za przezroczystość (tzw. kanał alfa). Przestępcy robią to tak subtelnie, że zmiany są prawie niezauważalne. Dzięki temu obraz na pierwszy rzut oka wygląda normalnie i bez specjalistycznego sprzętu trudno dopatrzyć się jakiekolwiek różnicy.
Czy możemy się ochronić?
W tej sytuacji możemy się zastanawiać, czy np. niewyraźne obrazy, które widujemy w mediach społecznościowych, mogą ukrywać niebezpieczny kod. Warto wziąć pod uwagę, że pliki graficzne przesyłane na profile są zazwyczaj mocno kompresowane i modyfikowane. To oznacza, że ukrycie w nich w pełni działającego kodu byłoby bardzo problematyczne nawet dla cyberprzestępców.
– Kluczowe jest jednak to, że metody ukrywania informacji w pikselach oraz inne steganograficzne sztuczki stają się prawdziwym zagrożeniem jedynie w momencie, kiedy specjalistyczny program potrafi odczytać ukryte dane, wydobyć z nich złośliwy kod i aktywować go w naszym systemie. Innymi słowy, jeśli korzystamy z oprogramowania antywirusowego, które zabezpiecza nas przed programem pobierającym złośliwy kod lub przed samym złośliwym kodem, nie musimy tak bardzo martwić się o wykorzystanie steganografii. Dodatkowo, niektóre kody wydobywane z obrazów potrafią wykorzystywać luki w oprogramowaniu, aby dokonać dalszego ataku. Regularne aktualizowanie oprogramowania eliminuje wszystkie luki, na które dostawca oprogramowania udostępnił tzw. „łatki” w danej aktualizacji – wyjaśnia Kamil Sadkowski.
Niestety nie wszystkie cyberzagrożenia jesteśmy w stanie zawczasu dostrzec i ich uniknąć. Dla zwyczajnych użytkowników prawie niemożliwe jest ocenić czy dany obraz jest niewyraźny z powodu niskiej jakości czy ukrytego w nim malware’u. Dlatego ważne jest, aby zawsze przestrzegać wszystkich zasad cyberbezpieczństwa i chronić swoje urządzenia systemami antywirusowymi, które są w stanie dostrzec więcej niż my.