¿Cómo hacen los cibercriminales para insertar ransomware en una imagen usando solo 5 comandos?

Las cargas maliciosas en una infección de ransomware y otras variantes de malware pueden ser ocultadas usando múltiples métodos, algunos de los cuales son algo inusuales y podrían parecer un elemento salido de una película de ciencia ficción para los usuarios menos entrenados. Acorde a expertos en concientización de ciberseguridad, la esteganografía fue considerada por mucho tiempo un método de hacking muy avanzado, ya que permitía ocultar una carga útil en un simple archivo JPG, aunque este no es el único método similar.

En esta ocasión, los expertos del Instituto Internacional de Seguridad Cibernética (IICS) nos mostrarán en qué consiste Polyglot, un método de ataque en el que un archivo malicioso se trata tanto como imagen como código JavaScript. A grandes rasgos, esto se logra con un archivo BMP con bytes especialmente tratados para conseguir la ejecución de código en sistemas vulnerables.

Antes de continuar, recuerde que este artículo fue elaborado con fines exclusivamente informativos y no debe ser tomado como un llamado a la acción. IICS no es responsable del mal uso que pueda darse a la información aquí contenida.

Los expertos en concientización de ciberseguridad señalan que el ataque Polyglot consiste en manipular el tamaño de una imagen para representar caracteres hexadecimales para que las computadoras puedan interpretarla de manera diferente; es decir, para ser ejecutado como código. Esta labor requiere de un generador de carga útil, por lo que en este ejemplo usaremos la herramienta Pixload.

Esta herramienta puede generar cargas útiles en archivos BMP, GIF, JPG y PNG, además de que funciona con archivos predeterminados que están adjuntos en su directorio y permite iniciar pequeños archivos arbitrarios del formato correspondiente según el contexto del ataque. A diferencia de otras técnicas similares como la esteganografía, los archivos no necesitan convertirse en íconos o imágenes, señalan los expertos en concientización de ciberseguridad.

Instalación

Ejecute los comandos mostrados a continuación para instalar la herramienta:

# apt install libgd-perl libimage-exiftool-perl libstring-crc32-perl
# git clone https://github.com/chinarulezzz/pixload.git
# cd pixload

Asegúrese de que los comandos son ingresados correctamente.

Uso de la herramienta

Si trabaja con datos predeterminados y no hay un archivo de salida arbitrario, la próxima vez que se genere, dicho archivo se sobrescribirá. Por otra parte, si hay un archivo de salida arbitrario descargado, indicamos su nombre en la salida y la carga se escribirá en él, menciona los especialistas en concientización de ciberseguridad.

Para mayor comodidad, coloque dicho archivo en el directorio de herramientas.

Para archivos BMP:

# ./bmp.pl -output file.bmp

Para archivos JPG 2, ya sea en el parámetro COMMENT o en la tabla DQT. Y es para este tipo de archivos que existe una limitación de carga de 64 bytes y el requisito de que el archivo sea arbitrario.

./jpg.pl -place DQT -output file.jpg
./jpg.pl -place COM -output file.jpg

Para archivos PNG

# ./png.pl -output file.png

Para archivos GIF:

# ./gif.pl -output file.gif

Después de generar la carga útil, el tamaño en las propiedades permanecerá sin cambios, pero la imagen en sí tomará el tamaño mínimo, mencionan los expertos en concientización de ciberseguridad. Estos archivos son peligrosos para el usuario objetivo, ya que podrían desencadenar un ataque de scripts entre sitios (XSS).

Cabe mencionar que un ataque exitoso aún requiere que el usuario objetivo descargue esta carga útil especialmente diseñada, ya sea a través de una descarga automática en un sitio web inseguro o bien mediante tácticas de phishing e ingeniería social.

Por seguridad, los expertos en concientización de ciberseguridad recomiendan bloquear la ejecución automática de JavaScript en su navegador para evitar ataques de este tipo. Para los usuarios con mayores conocimientos, usar un editor hexadecimal o analizador de paquetes permitirá distinguir a simple vista cualquier intento de actividad maliciosa.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

Atul Narula

Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.

¿Cómo hacen los cibercriminales para insertar ransomware en una imagen usando solo 5 comandos?

Instalación

Uso de la herramienta

Vulnerabilidades duales en Microsoft SharePoint Server: Pasos esenciales para mitigar

Las vulnerabilidades de alto riesgo en el arranque seguro de la mayoría de los dispositivos Linux del planeta

Los entornos en contenedores son nuevos objetivo de los Hackers a través de vulnerabilidades en runC

Hackear dispositivos Android, Linux, macOS, Windows e iOS a través de Bluetooth utilizando una única vulnerabilidad

De Tianocore a los titanes de la tecnología: los devastadores defectos de PixieFail en UEFI: ¿está en riesgo su dispositivo?

Hospitales como Rehenes:Ciberataques Dejan a los Hospitales Franceses en Caos

Hackear lo inhackable: La historia de cómo se hackearon CISA

El hack de Cloudflare: un hacker, 5000 credenciales y código de operación rojo

La Brecha en Boeing: Dentro del Robo de LockBit Ransomware

Objetivos Eternos: Después de Casio, el Grupo Seiko es hackeado nuevamente por una banda de ransomware

La pesadilla de Casio: ¡Cómo un simple error provocó una violación de datos en 149 países!

El mayor proveedor de botellas de refrescos, fabricante de plástico y reciclaje hackeado por ransomware

Google Gemini bajo fuego: vulnerabilidades de seguridad críticas que necesita conocer para hackear Gemini

Hackeando SCCM: Pentesting del System Center Configuration Manager con Misconfiguration Manager

Hackear dispositivos Android, Linux, macOS, Windows e iOS a través de Bluetooth utilizando una única vulnerabilidad

Hackear Windows 10 y 11 con secuestro de DLL Search Order sin derechos de administrador

Así hackean conexiones SSH explotando las vulnerabilidades del protocolo SSH

Nuevas vulnerabilidades de DHCP y cómo se explotan en Active Directory

Hackeando Bluetooth con MiTM: El ataque BLUFFS Bluetooth para infiltrarse en Millones de Dispositivos

Seis pasos para presentar denuncias anónimas ante el gobierno contra empresas hackeadas y obligarlas a pagar multas o tomar medidas

Dentro del Exploit: Cómo los Archivos que Subes a ChatGPT Podrían Ser Robados por una Vulnerabilidad

Esta técnica de Google Calendar permite hackear empresas sin ser detectado

Este bot de Telegram es como ChatGPT para que los estafadores para robar dinero a las víctimas

¿Qué tan fácil es bombardear el celular de alguien con miles de mensajes SMS?

¿Cómo proteger los cortafuegos Cisco Firepower Threat Defense (FTD)?

¿Cómo usar el agente de AWS SSM como puerta trasera y hackear servidores de EC2?

La nueva herramienta FraudGPT permite estafar y hackear fácilmente a las víctimas usando IA

El lado oscuro de los archivos PDF: cómo abrir un PDF simple podría desencadenar una pesadilla de ciberseguridad

El mayor proveedor de botellas de refrescos, fabricante de plástico y reciclaje hackeado por ransomware

¿Visitaste thesaurus.com en busca de sinónimos? Tienes una infección de malware Coinminer

Cómo envian malware a través de Teams, esquivando las funciones de seguridad de Teams

2 grandes empresas de hosting en la nube cierran por ransomware y pierden los datos de clientes