Una sofisticada campaña de ataque que utiliza técnicas esteganográficas proporciona una carga útil de ransomware totalmente irrelevante (FUD) que oculta el código malicioso dentro de los archivos de imagen JPEG normales y evita las soluciones de seguridad tradicionales.
Este ataque aprovecha la estructura de metadatos de un archivo JPEG para ocultar el código de PowerShell que descarga y ejecuta ransomware sin aumentar una alerta de seguridad cuando se activa.
Esta técnica, conocida como Stegomalware, representa la evolución de la capacidad de los actores de amenaza para evitar mecanismos de detección.
Stegomalware funciona construyendo un sistema de esteganografía que oculta datos maliciosos dentro de un recurso, extrae y ejecuta dinámicamente.
Esta se considera una de las formas de ofuscación más sofisticadas y sigilosas que actualmente están desplegadas por los actores de amenaza.
Ataque de ransomware de varias etapas usando archivos JPG
Según Aux Grep, el ataque comienza cuando la víctima recibe imágenes de JPG aparentemente inocentes a través del correo electrónico, las redes sociales o a través de sitios web comprometidos.
Oculto dentro de los datos de EXIF de estas imágenes está ofuscado del código PowerShell diseñado para iniciar una secuencia de ataque.
Cuando se abre la imagen, el componente secundario ejecuta el código oculto en el documento de la oficina que contiene el extracto macro usando un comando como este:
Cuando se ejecuta, el script de PowerShell descarga un archivo JPG que contiene el ensamblaje .NET codificado Base64 oculto entre marcadores específicos.
Este ensamblaje carga y ejecuta la carga útil final de ransomware. Esto encriptará los archivos de la víctima sin que se detecte la solución de seguridad.
Este ataque es particularmente peligroso debido al uso de técnicas FUD. Los autores de malware comprenden cómo funcionan los productos de seguridad y diseñan su código específicamente para evitar la detección.
La frecuencia de las actualizaciones de definición de virus ha aumentado dramáticamente, pero el malware FUD puede seguir adelante y volverse único al encriptar el código usando Cryportor, lo que lo hace único y nada coincide en la base de datos de virus.
El enfoque de la esteganografía proporciona una capa adicional de protección para el atacante. El código malicioso está oculto dentro de los datos de píxeles en lugar de metadatos, lo que lo hace casi invisible para las herramientas de detección tradicionales.
En una campaña reciente registrada en marzo de 2025, los investigadores utilizaron esta técnica para identificar a los atacantes, distribuir varios malware de rata (troyano de acceso remoto), incluidos Limerat, AgentTesla y REMCO, y luego implementar el ransomware.
Los vectores de infección iniciales generalmente contienen correos electrónicos de spam con imágenes adjuntas. Una vez descargado, el script de PowerShell oculto se activará para extraer el código oculto y establecer una conexión con el servidor de comando y control antes de implementar la carga útil de ransomware.
Medidas de protección
Los expertos en seguridad recomiendan varias medidas para proteger contra estos ataques.
Implemente una solución avanzada de filtrado de correo electrónico para analizar los componentes de imagen integrados. Desactiva la ejecución automática de macro en documentos de oficina. Mantener copias de seguridad regulares fuera de línea de datos importantes. Implemente soluciones de seguridad con detección basada en la firma, así como capacidades de análisis de comportamiento. Tenga cuidado al descargar imágenes de fuentes poco confiables.
A medida que los atacantes continúan mejorando sus técnicas, las organizaciones deben permanecer atentos a estas amenazas cada vez más sofisticadas que convierten las imágenes normales en vectores para ataques catastróficos de ransomware.
Cómo los piratas informáticos de simulación de ataque de vulnerabilidad sondean rápidamente sitios web de puntos de entrada: seminario web gratuito
