Contenido

Introducción .................................................................................................................................. 2
Casos de estenografía ................................................................................................................... 2
Kaspersky Lab ............................................................................................................................ 2
Conclusión ..................................................................................................................................... 4
Bibliografía .................................................................................................................................... 4
Introducción

Casos de estenografía

Kaspersky Lab: hackers utilizan esteganografía para ocultar información

robada dentro de imágenes.

Al analizar varias campañas de ciber espionaje y ciberdelincuencia, los

investigadores de Kaspersky Lab han identificado una nueva y preocupante
tendencia: los hackers informáticos utilizan cada vez más la esteganografía
versión digital de una antigua técnica para ocultar mensajes dentro de
imágenes– para esconder las pistas de su actividad maliciosa en la
computadora afectada. Recientemente ha sido descubierta una serie de
operaciones de malware destinadas al ciberespionaje y varios ejemplos de
malware creado para robar información financiera que utilizan esta técnica.

Como se observa en un ataque cibernético típico, una vez que el agente de

amenazas está dentro de la red atacada, establece un punto de apoyo y
luego recopila información valiosa para posteriormente transferirla al servidor
de mando y control (C&C por sus siglas en inglés). En la mayoría de los casos,
las soluciones de seguridad ya probadas o los análisis profesionales de
seguridad pueden identificar la presencia del agente de amenazas en la red
en cada etapa del ataque, incluso en la de ex filtración. Esto se debe a que
esta parte normalmente deja pistas, por ejemplo, un registro de conexiones a
una dirección IP desconocida o incluida en lista negra. Sin embargo, cuando
se trata de ataques en los que se utiliza la esteganografía, detectar la ex
filtración de datos se convierte en una tarea difícil.

A plena vista, estas imágenes parecen archivos BMP regulares, pero en verdad son
portadores de carga útil o mensajes embebidos.

2
En este escenario, los usuarios malintencionados insertan la información que se
va a robar en el código de una imagen visual trivial o en un archivo de video
que luego se envía al servidor C&C. Por lo tanto, es improbable que un evento
de este tipo provoque alguna alarma de seguridad o active una tecnología
de protección de datos. Esto se debe a que después de ser modificada por el
atacante, la imagen en sí no cambia visualmente y su tamaño y la mayoría de
los otros parámetros tampoco quedan alterados, lo cual no dará ningún
motivo de preocupación. Esto hace que la esteganografía sea una técnica
lucrativa para los agentes maliciosos cuando se trata de escoger la forma de
ex filtrar los datos de una red atacada.

En meses recientes, los investigadores de Kaspersky Lab han sido testigos de al

menos tres operaciones de ciberespionaje que utilizan esta técnica. Lo que
resulta más preocupante es que además de los agentes de ciberespionaje, la
técnica también está siendo adoptada activamente por cibercriminales
habituales. Los investigadores de Kaspersky Lab han visto que se utiliza en
versiones recientes de troyanos, entre ellas Zerp, ZeusVM, Kins, Triton y otros. La
mayoría de estas familias de programas maliciosos generalmente se dirigen a
organizaciones financieras y usuarios de servicios financieros. Esto último podría
ser una señal de que esta técnica será adoptada en masa por los autores de
malware y, como resultado, hará más compleja su detección de manera
generalizada.

“Aunque esta no es la primera vez que hemos presenciado que una técnica
maliciosa, utilizada originalmente por agentes de amenazas avanzadas, se
infiltra al panorama más común del malware, el caso de la esteganografía
resulta especialmente relevante. Hasta ahora, la industria de la seguridad no
ha encontrado una manera fiable de detectar la ex filtración de datos
realizada de esta manera. Las imágenes utilizadas por los atacantes como
herramienta de transporte para la información robada son muy grandes y,
aunque hay algunos algoritmos que podrían detectar automáticamente la
técnica, su implementación a gran escala requeriría un gran poder de
cómputo a un costo que resulta prohibitivo”, dijo Alexey Shulmin, analista de
seguridad para Kaspersky Lab.

"Por otro lado, con la ayuda del análisis manual es relativamente fácil
identificar una imagen ’cargada’ con datos confidenciales robados. Sin
embargo, este método tiene limitaciones, ya que un analista de seguridad solo
podría analizar un número muy limitado de imágenes por día. Quizás, la
respuesta sea una combinación de ambos. En Kaspersky Lab, utilizamos una
combinación de tecnologías con el análisis automatizado y el intelecto
humano, lo que llamamos HuMachine, para poder identificar y detectar tales
ataques. Sin embargo, hay margen de mejora en esta área y el objetivo de
nuestras investigaciones es atraer la atención de la industria al problema e
imponer el desarrollo de tecnologías fiables pero asequibles, permitiendo así la
identificación de la esteganografía en los ataques de malware", concluyó
Shulmin.

3
Conclusión

Bibliografía
Kaspersky. (2017). Kaspersky Lab: hackers utilizan esteganografía para ocultar
información robada dentro de imágenes. Agosto 13, 2017, de Kaspersky Sitio
web: https://latam.kaspersky.com/about/press-releases/2017_kaspersky-lab-
hackers-use-steganography-to-hide-stolen-information-inside-images