Malware Bersembunyi Dalam Gambar

Pelaku kejahatan siber terus mencari berbagai cara untuk menghindari deteksi, dan salah satu teknik tersebut adalah menggunakan malware bersembunyi dalam gambar atau foto.

Solusi keamanan siber telah berkembang cukup mampu mendeteksi file-file mencurigakan, dan seiring dengan semakin sadarnya dunia usaha akan perlunya meningkatkan postur keamanan mereka dengan lapisan perlindungan tambahan.

Situasi ini menyebabkan penjahat siber mencoba mencari cara dengan akal-akalan untuk menghindari deteksi seperti dengan malware disembunyikan dalam gambar.

Malware Disembunyikan Dalam Gambar

Ini mungkin terdengar tidak masuk akal, tetapi ini nyata. Malware yang ditempatkan di dalam gambar dengan berbagai format adalah hasil steganografi, yaitu teknik menyembunyikan data di dalam file untuk menghindari deteksi.

ESET Research menemukan teknik ini digunakan oleh kelompok spionase dunia maya Worok, yang menyembunyikan kode berbahaya dalam file gambar, hanya mengambil informasi piksel tertentu dari kode tersebut untuk mengekstrak muatan untuk dieksekusi.

Perlu diingat bahwa hal ini dilakukan pada sistem yang sudah disusupi, karena seperti disebutkan sebelumnya, menyembunyikan malware di dalam gambar lebih bertujuan untuk menghindari deteksi daripada akses awal.

Seringkali, gambar berbahaya tersedia di situs web atau ditempatkan di dalam dokumen. Beberapa orang mungkin ingat adware: kode tersembunyi di spanduk iklan.

Sendirian, kode dalam gambar tidak dapat dijalankan, dieksekusi, atau diekstraksi dengan sendirinya saat disematkan. Malware lain harus dikirimkan untuk menangani ekstraksi kode berbahaya dan menjalankannya.

Di sini tingkat interaksi pengguna yang diperlukan berbeda-beda dan seberapa besar kemungkinan seseorang menyadari aktivitas jahat tampaknya lebih bergantung pada kode yang terlibat dalam ekstraksi dibandingkan pada gambar itu sendiri.

Bit Terkecil

Salah satu cara licik untuk menyematkan kode berbahaya ke dalam gambar adalah dengan mengganti bit terkecil dari setiap nilai merah-hijau-biru-alfa (RGBA) setiap piksel dengan satu bagian kecil pesan.

Teknik lainnya adalah dengan menyematkan sesuatu ke dalam saluran alfa gambar (yang menunjukkan opasitas suatu warna), hanya menggunakan sebagian kecil saja.

Dengan cara ini, gambar tampak kurang lebih sama dengan gambar biasa, sehingga perbedaannya sulit dideteksi dengan mata telanjang.

Contohnya adalah ketika jaringan periklanan yang sah menayangkan iklan yang berpotensi menyebabkan spanduk berbahaya dikirim dari server yang disusupi.

Kode JavaScript diekstraksi dari spanduk, mengeksploitasi kerentanan CVE-2016-0162 di beberapa versi Internet Explorer, untuk mendapatkan informasi lebih lanjut tentang target.

Muatan berbahaya yang diambil dari gambar dapat digunakan untuk berbagai tujuan. Dalam kasus kerentanan Explorer, skrip yang diekstraksi memeriksa apakah skrip tersebut berjalan pada mesin yang dipantau seperti yang dijalankan oleh analis malware.

Jika tidak, maka diarahkan ke halaman landing kit eksploitasi. Setelah eksploitasi, muatan akhir digunakan untuk mengirimkan malware seperti pintu belakang, trojan perbankan, spyware, pencuri file, dan sejenisnya.

Seperti yang Anda lihat, perbedaan antara gambar bersih dan gambar jahat agak kecil. Bagi orang biasa, gambar berbahaya mungkin terlihat sedikit berbeda.

Dan dalam kasus ini, tampilan aneh tersebut mungkin disebabkan oleh kualitas dan resolusi gambar yang buruk, namun kenyataannya semua piksel gelap yang disorot pada gambar di sebelah kanan adalah tanda kode ganas.

Tak Perlu Khawatir

Anda mungkin bertanya-tanya apakah gambar yang Anda lihat di media sosial dapat menyimpan kode berbahaya.

Pertimbangkan bahwa gambar yang diunggah ke situs media sosial biasanya dikompresi dan dimodifikasi secara besar-besaran.

Sehingga akan sangat bermasalah bagi pelaku ancaman untuk menyembunyikan kode yang terpelihara sepenuhnya dan berfungsi di dalamnya.

Hal ini mungkin terlihat jelas saat Anda membandingkan tampilan foto sebelum dan sesudah Anda mengunggahnya ke Instagram biasanya, terdapat perbedaan kualitas yang jelas.

Yang terpenting, penyembunyian piksel RGB dan metode steganografi lainnya hanya dapat menimbulkan bahaya ketika data tersembunyi dibaca oleh program yang dapat mengekstrak kode berbahaya dan mengeksekusinya di sistem.

Gambar seringkali digunakan untuk menyembunyikan malware yang diunduh dari server command and control (C&C) untuk menghindari deteksi oleh psolusi keamanan.

Dalam satu kasus, trojan bernama ZeroT, melalui dokumen Word yang dilampirkan ke email, diunduh ke mesin korban. Namun, itu bukanlah bagian yang paling menarik.

Yang menarik adalah ia juga mengunduh varian PlugX RAT (alias Korplug) menggunakan steganografi untuk mengekstrak malware dari gambar Britney Spears.

Dengan kata lain, Jika Anda terlindungi dari trojan seperti ZeroT, maka Anda tidak perlu terlalu peduli dengan penggunaan steganografinya.

Terakhir, kode eksploitasi apa pun yang diekstraksi dari gambar bergantung pada kerentanan yang ada agar eksploitasi berhasil. Jika sistem Anda sudah ditambal, eksploitasi tidak mungkin berhasil.

Oleh karena itu, ada baiknya untuk selalu memperbarui perlindungan siber, aplikasi, dan sistem operasi Anda. Eksploitasi dengan kit eksploitasi dapat dihindari dengan menjalankan perangkat lunak yang telah di-patch sepenuhnya dan menggunakan solusi keamanan yang andal dan diperbarui.

Sumber berita:

WeLiveSecurity