Criminosos escondem programas maliciosos em imagens hospedadas em blogs do Google
IMAGEaHR0cHM6Ly9jZG4taW1hZ2VzLTEubWVkaXVtLmNvbS9tYXgvMTAwMC8xKmN6WVZUZC12aWJRRV9QMDBNQ0pBYlEuanBlZw==
A empresa de segurança Sucuri alertou que invasores digitais estão aperfeiçoando um velho truque usado para esconder códigos maliciosos: ocultar o programa dentro dos chamados metadados de imagens. A novidade, conforme observou a Sucuri, é que as fotos são hospedadas nos servidores do Google, provavelmente no serviço Blogger, que abriga blogs de forma gratuita.
As imagens não são capazes de infectar o computador ao serem visualizadas, porque elas não exploram nenhum tipo de vulnerabilidade. Em vez disso, o objetivo dos criminosos é esconder a presença dos códigos maliciosos em arquivos confiáveis e em um local confiável. Os metadados da imagem, que abrigam o código malicioso, não criam nenhuma diferença visual na imagem e estão codificados. Dessa forma, a imagem parece completamente normal e inofensiva ao ser aberta no navegador ou visualizada em um editor de imagens.
No entanto, quando corretamente processada, a imagem se transforma em um novo componente malicioso que pode ser usado em um ataque.
Imagens são arquivos confiáveis, por serem normalmente inofensivos, e os servidores do Google também são considerados confiáveis. Isso reduz a chance de que o download seja bloqueado ou que uma anomalia seja detectada após o início de uma invasão.
Um truque muito semelhante foi usado pelo vírus VPNFilter, que rendeu um alerta do FBI. O VPNFilter ataca roteadores e não tem relação com o novo caso descrito pela Sucuri, exceto por ambos esconderem códigos maliciosos em arquivos de imagem. O VPNFilter também não utilizava o armazenamento no Google.
Os arquivos de imagens são baixados depois que os invasores já conseguiram atacar um sistema, normalmente um servidor web (um computador, que normalmente pertence a uma empresa, que abriga páginas de internet). O código permite que os hackers executem comandos no servidor invadido, o que pode viabilizar o roubo de dados ou contaminar os sites com códigos para atacar os visitantes.
Como as imagens maliciosas são arquivos válidos, serviços que abrigam imagens precisam ter cuidado e adotar novas políticas que permitam que esses arquivos sejam denunciados. No momento, existem procedimentos para remover imagens com conteúdo inadequado ou ilícito, mas a análise feita após a denúncia normalmente não inclui os metadados da imagem -- que é onde o código malicioso fica armazenado.