Os membros do Witchetty ocultaram um cavalo de troia dentro de um antigo logotipo do Windows. Como? Por meio de esteganografia.
A ideia é sofisticada, mas não desconhecida. A esteganografia é uma técnica que esconde informações dentro de uma imagem, vídeo ou outro tipo de arquivo. Frequentemente, essa "arte" é usada para dificultar o rastreamento da mensagem a ser enviada.
É o caso aqui. A Symantec relata que o Witchetty inseriu um cavalo de troia (backdoor) em uma imagem bitmap do logotipo que a Microsoft usava no Windows 7. O malware foi ocultado ali por meio de um algoritmo de criptografia XOR, que segue princípios específicos da lógica booleana.
Imagens não costumam levantar suspeitas em sistemas de segurança, a não ser que elas sejam malwares renomeados para formatos do tipo. É por isso que o truque da esteganografia pode funcionar. Há um código malicioso escondido ali, mas a imagem não deixa de ser verdadeira.
Começa com vulnerabilidades
No entanto, o ataque não começa com a imagem em si. Na verdade, os hackers exploram pelo menos dois conjuntos de falhas conhecidas no Microsoft Exchange — ProxyLogon e ProxyShell — para invadir servidores vulneráveis.
A ação é executada por dois backdoors: o X4 no primeiro estágio; o Looback no segundo. Este último tem um carregador de DLL que se encarrega de baixar a imagem de um repositório no GitHub, que é um hospedeiro confiável.
Pode haver outras fontes tão ou mais confiáveis. Isso porque, como o malware está oculto em um bitmap real, esses serviços não conseguem detectá-lo, pelo menos não facilmente.
Depois de o arquivo ser baixado, a extração do Backdoor.Stegmap, como o malware é chamado, ocorre a partir de uma decodificação feita com uma chave XOR. Na sequência, a ameaça pode executar uma série de ações. Copiar ou apagar arquivos, iniciar processos e baixar outras cargas maliciosas estão entre elas.
Depois vem a espionagem
Os procedimentos a serem executados dependem do alvo e do objetivo. De acordo com a Symantec, o Witchetty (também conhecido como LookingFrog) realiza espionagem. Neste ano, o grupo teria executado ações contra governos de dois países do Oriente Médio e uma bolsa de valores na África, só para dar exemplos recentes.
Existe a suspeita de que o Witchetty tenha ligação com o grupo hacker APT10 que, por sua vez, teria ligações com o governo chinês.
Detectar uma carga maliciosa escondida via esteganografia é difícil, mas a ação maliciosa pode ser bloqueada por meio de sistemas de verificação de intrusos, por exemplo.
Mas a prevenção continua sendo o melhor remédio. Medidas simples podem ser suficientes, como instalar atualizações de software. Para se ter ideia, as mencionadas vulnerabilidades no Exchange foram corrigidas no ano passado pela Microsoft.