Кибер престъпници използват инфектирани JPEG файлове, за да ъпдейтват съществуващи заплахи или да инициират нови атаки, алармира Trend Micro.
Оказва се, че изображението съдържа кодирани конфигурационни файлове, както и изпълними файлове. Първите позволяват на атакуващите да променят настройки, те съдържат също данни за хост имената на компрометираните мрежи и имена на процеси на редица антивирусни продукти.
Изпълнимите файлове, кодирани в изображението, са били или ъпдейти или нов малуер, готов да инфектира целта, показва анализът на Trend Micro. Според експертите на компанията, подобен метод се използва още от 2010 година и продължава да се прилага и в момента.
Малуерът принадлежи към семействата SOGOMOT и MIRYAGO, които се ъпдейтват по необичаен начин – чрез зареждане на JPEG файл, който съдържа криптирани конфигурационни и изпълними файлове. Опасните JPEG файлове се хостват на различни уеб сайтове, основно в Азия. Някои от тях са легитимни, което означава, че са жертви на атакуващите, които ги използват за своите цели.
Ако говорим само за update-и, тогава един легитимен интернет форум може да се окаже подобно хранилище на зловредни файлове. Примерно качените от потребителите снимки могат да бъдат такива. Няма начин да се проверят, освен ако не се знае точно зловредния код който ги ползва. Последният може яко да мутира.
Един не лош начин за защита е антивирусната програма да модифицира леко всички зареждани от мрежата изображенията. В много от случаите това ще свърши работа, защото възстановяването на информацията след подобна намеса не е много лека технически осъществима задача от зловредния софтуер. Още повече, ако механизмът на модификация е по-сложен. За малки зловредни update-и, обаче няма спасение…