Esteganografía: cómo los piratas informáticos ocultan malware en imágenes

¿Qué es la esteganografía?

La esteganografía es la “práctica de ocultar un mensaje secreto dentro (o incluso encima) de algo que no es secreto”, por ejemplo, mucha esteganografía consiste en insertar un fragmento de texto, malware o código secreto dentro de una imagen ( comptia ).

Incluso podría ocultar un script dentro de un documento de Word. Los piratas informáticos buscan constantemente nuevas formas de evitar que los atrapen. Hay diferentes tipos de esteganografía que incluyen texto, imágenes, audio/video y protocolo. Sin embargo, en este artículo, me centraré específicamente en la esteganografía de imágenes y cómo los piratas informáticos pueden ocultar malware en las imágenes.

¿Qué es la esteganografía de imágenes?

La esteganografía de imágenes se refiere a la “práctica de ocultar código dentro de una imagen de apariencia inocente” ( votiro ). Los piratas informáticos han llegado a utilizar este método con más frecuencia, ya que muchos expertos en ciberseguridad han pasado por alto la esteganografía de imágenes. Según Votiro , en 2017, los investigadores de seguridad informaron un aumento del 600 % en los ataques de esteganografía de imágenes.

Las imágenes son el método más común para los piratas informáticos cuando se trata de esteganografía y los piratas informáticos pueden decidir en qué formato de imagen (es decir, .jpg) quieren ocultar su malware.

¿Cómo pueden los piratas informáticos ocultar el malware en las imágenes?

No es difícil para los piratas informáticos ocultar malware en las imágenes. Por ejemplo, “una foto JPEG estándar contiene varios megabytes de datos de píxeles, lo que permite a un atacante alterar varios de los píxeles para incrustar código malicioso” ( votiro ). El valor del color “las diferencias entre píxeles alterados e inalterados son lo suficientemente sutiles como para que la vista humana no pueda detectarlos” ( votiro ). Echa un vistazo al ejemplo , a continuación.

La esteganografía de imágenes se puede usar para ocultar una carga útil dentro de la propia pieza de código o el código puede llamar a otros ejecutables para un ataque.

Una forma sencilla para que los piratas informáticos oculten textos en un archivo de imagen es agregar una cadena de texto al final de un archivo. Hacer esto no cambia la forma en que se mostrará la imagen o su apariencia visual. La imagen no se distorsionará; un programa puede leer fácilmente la cadena de texto sin formato añadida al final del archivo de imagen.

Detección de esteganografía de imagen

El método de esteganografía de imágenes realiza modificaciones tan pequeñas dentro de una imagen que dificultan la detección por parte de las herramientas antimalware. Según McAfee , “la esteganografía en los ciberataques es fácil de implementar y enormemente difícil de detectar”, razón por la cual los hackers prefieren ocultar el malware en imágenes. Los investigadores de seguridad de Kaspersky Lab también coincidieron con McAfee al afirmar que la mayoría de las soluciones antimalware modernas brindan poca o ninguna protección contra la esteganografía. Los siguientes son indicadores de esteganografía de imágenes:

• Ligeras diferencias de color entre dos imágenes.
• Una gran cantidad de colores duplicados dentro de una imagen puede ser un indicador
• Si la imagen sospechosa es más grande que la imagen original, la diferencia de tamaño puede deberse a información oculta.

Una de las razones por las que la esteganografía de imágenes o los ataques de esteganografía en general son difíciles de detectar es porque primero aparecen como amenazas de día cero, lo que dificulta la detección de los antivirus, ya que aún no se ha desarrollado ningún parche.

Ejemplo de esteganografía de imagen

El malware, LokiBot, “emplea malware troyano para robar información confidencial, como nombres de usuario, contraseñas, billeteras de criptomonedas y otras credenciales” ( CISA ). LokiBot usa esteganografía para ocultar malware en imágenes y un archivo ejecutable. El malware “se instala en dos archivos: un archivo .jpg y un archivo .exe; se abre el archivo .jpg, desbloqueando los datos que LokiBot necesita cuando se implementa” ( votiro ).

Protéjase contra la esteganografía de imágenes

Como se mencionó anteriormente en el artículo, es extremadamente difícil detectar la esteganografía de imágenes, por lo tanto, la mejor manera de protegerse contra ella es tomar las precauciones de seguridad adecuadas. McAfee recomienda los siguientes pasos que las organizaciones deben seguir para protegerse contra la esteganografía de imágenes:

• Preste mucha atención a cada imagen: con la ayuda del software de edición de imágenes, puede buscar indicadores de esteganografía por las ligeras diferencias de color en las imágenes.
• Segmentar la red
• Configure el antimalware para detectar carpetas (una herramienta utilizada para combinar archivos en uno)
• Instalar aplicaciones con firmas de confianza
• Supervisar el tráfico saliente
• Controlar el uso de software de esteganografía

SentinelOne ha sugerido que las organizaciones utilicen “software de IA conductual para detectar la ejecución de código malicioso, independientemente de si se origina en una imagen u otro archivo, o incluso si se trata de malware sin archivos” ( SentinelOne ).

La esteganografía es una técnica que los piratas informáticos seguirán utilizando para ocultar su malware debido a lo difícil que es detectarlo. Los piratas informáticos definitivamente utilizarán la esteganografía de imágenes para ocultar el malware en las imágenes porque no hay forma de saber si la imagen contiene malware o no sin una investigación adicional. Aunque una imagen parezca inocente, puede estar incrustada con un código malicioso que puede ejecutarse llamando a otro proceso, por ejemplo. Las organizaciones deben tomar todas las precauciones de seguridad necesarias cuando se trata de esteganografía. Dado que es una técnica popular, las organizaciones deben conocer las herramientas apropiadas necesarias para detectar la esteganografía.