Los archivos PNG son populares y se utilizan ampliamente en Internet, lo que los convierte en un vector atractivo para los actores de amenazas. También apunta a archivos PNG, principalmente porque pueden ocultar código malicioso mediante técnicas como la “esteganografía”.
Los investigadores de Elastic Security Labs descubrieron recientemente que el malware GHOSTPULSE evade la detección ocultándose dentro de la estructura de píxeles de los archivos PNG.
La familia de malware GHOSTPULSE (también conocida como “HIJACKLOADER” o “IDATLOADER”) ha evolucionado significativamente desde su descubrimiento en 2023. Inicialmente, la carga maliciosa estaba oculta en el “fragmento IDAT” del archivo PNG.
Sin embargo, la última versión emplea técnicas más avanzadas al incorporar la “configuración” y la “carga útil” directamente dentro de los píxeles de la imagen.
Únase al seminario web gratuito de ANY.RUN sobre cómo mejorar su investigación de amenazas el 23 de octubre: regístrese aquí
Este nuevo método utiliza los valores “ROJO'', “VERDE'' y “AZUL'' (“RGB'') de cada píxel, que se extraen “secuencialmente'' usando el “ de Windows. API de biblioteca GDI+”.
Sitio web de señuelo de ingeniero social (fuente: elástico)
El malware crea una “matriz de bytes” a partir de estos valores y busca estructuras específicas que contengan “configuraciones cifradas”.
Esto se hace analizando “bloques de 16 bytes”. Aquí, los primeros 4 bytes representan el “hash CRC32” y los siguientes “12 bytes” contienen los datos que se van a aplicar el hash.
Diagrama de bloques (fuente – Elastic)
Una vez que se encuentra una coincidencia, “GHOSTPULSE'' extrae el “desplazamiento'', el “tamaño'' y la “clave XOR de 4 bytes'' de la configuración cifrada y la descifra.
Este algoritmo basado en píxeles representa una desviación significativa de las técnicas anteriores de “fragmentación IDAT” al mejorar la capacidad del malware para evadir la detección.
Campañas recientes han simplificado la implementación de GHOSTPULSE empaquetándolo como un “único ejecutable comprometido” con un archivo PNG incrustado en la sección de recursos, en lugar del anterior “enfoque de múltiples archivos”. La familia de malware GHOSTPULSE ha evolucionado significativamente desde su descubrimiento.
En respuesta, los investigadores de Elastic Security Labs mejoraron la “Herramienta de extracción de configuración” para admitir las versiones “original” y “actualizada” de GHOSTPULSE.
Esta herramienta especializada analiza “archivos de imagen PNG” que el malware utiliza para “ocultar” y “extraer” cargas maliciosas incrustadas.
En lo que respecta a la detección, las reglas originales de YARA integradas con Elastic Defend siguen siendo efectivas contra las primeras etapas de la infección. Además de esto, los investigadores han desarrollado “nuevas reglas YARA” para identificar “variantes actualizadas de GHOSTPULSE”.
Extractor de carga útil (Fuente: elástico)
El extractor de configuración actualizado permitirá a los investigadores “comprender más profundamente” y “contrarrestar esta amenaza avanzada”.
La herramienta proporciona “información clave” sobre las tácticas en evolución del malware al respaldar el análisis de ambas versiones de “GHOSTPULSE”.
Esta tendencia resalta la importancia de la adaptación continua en ciberseguridad a medida que los analistas buscan mantenerse a la vanguardia de “técnicas de ataque cada vez más innovadoras”.
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Mírelo aquí
