Эксперты из BlackBerry Cylance обнаружили кампанию по распространению бэкдоров и ПО для майнинга. Особенность этой операции в том, что для сокрытия и загрузки вредоноса на компьютеры хакеры используют WAV-аудиофайлы.
Техники сокрытия вредоноса с помощью стеганографии в файлах JPEG и PNG часто используются злоумышленниками для обхода антивирусов. Но аудиофайлы в этом ключе применяются крайне редко – обнаруженная BlackBerry Cylance кампания является второй в своем роде.
Как в июне сообщили исследователи из Symantec, киберпреступная группировка Turla прятала общественно доступный бэкдор Metasploit Meterpreter в файле WAV и с его помощью заражала атакуемые системы. Эксперты же из BlackBerry Cylance обнаружили, что данная техника также стала использоваться для распространения майнера XMRig и кода Metasploit для установки обратной оболочки.
К каждому WAV-файлу прилагается загрузчик для декодирования и выполнения зловреда, вплетённого в аудиоконтент. При воспроизведении некоторых аудиофайлов действительно играет музыка без каких-либо помех и проблем с качеством. При проигрывании других – «белый шум».
Кто ответственен за эту кампанию, пока неизвестно. Хоть и узнаётся почерк Turla.
