Los piratas informáticos nos sorprenden cada vez a la hora de buscar nuevas técnicas para infectar nuestros móviles y hacerse con nuestro dinero, datos o lo que les interese. La nueva forma de lograrlo, y es más peligrosa de lo que puedas imaginar, es propagar malware por medio de imágenes PNG.
En principio han llegado a otros países, especialmente en sudeste asiático, Medio Oriente y Sudáfrica, que se haya descubierto, pero podrían llegar mucho más lejos y en esta ocasión su objetivo es atacar con malware para robar información. Ahora vas a tener que tener más cuidado con las imágenes que descargas, aunque en este caso toda precaución es poca.
¿Cómo logran infectarte con estas imágenes?
Los hackers de Workok están propagando malware por medio de imágenes PNG utilizando el método de esteganografía, que por si no lo sabes consiste en ocultar un mensaje dentro o encima de algo que no es secreto. Con ella se puede camuflar malware, como es el caso, en elementos tan cotidianos y en los que es fácil caer en el engaño como en las fotos.
El malware que se oculta en un archivo PNG podría robar los datos de tu dispositivo sin que te enteres, según informes de investigadores de Avast y ESET que han confirmado que los hackers de Worok están haciéndolo. Corren un mayor riesgo las víctimas de alto perfil, aunque eso no quiere decir que nadie esté a salvo.
El malware se oculta en archivos PNG, probablemente usando la carga lateral de DLL para ejecutar el cargador de malware CLRLoader en la memoria, aunque no se conoce el método que están usando para violar las redes. CLRLoader debería cargar una DLL de segunda etapa que es PNGLoader. Este extrae bytes incrustados en archivos PNG para ensamblar ejecutables.
La segunda carga útil estaría abusando del servicio de alojamiento en la nube DropBox para hacer la comunicación con el C2 y otras acciones. El malware DropBoxControl puede recibir datos y comandos o cargar archivos desde tu dispositivo por medio e una cuenta de DropBox controlada por el actor.
Como estos comandos se almacenan en archivos cifrados en el repositorio de DropBox del actor, el malware puede acceder a ellos periódicamente. Si te atacan, no te enterarás de nada ni recibirás un aviso de ningún tipo.
En los visores de imágenes todo es aparentemente normal, de hecho, se pueden abrir imágenes sin problemas, aunque lo que realmente sucede es que están robando datos de tu dispositivo como los que hay en documentos y archivos de su interés y tú no lo sabrías ni siquiera, aunque te hubieras infectado.
¿Qué puedes hacer para evitar infectarte?
De momento, el malware DropBoxControl tiene inicialmente un bajo alcance, aunque esto puede ser solo el principio de lo que nos espera en un futuro próximo. Los ciberdelincuentes trabajan constantemente para buscar nuevas formas de llegar a sus víctimas y aprovechan cualquier ocasión para ello.
Lo mejor que puedes hacer es tener cuidado con los archivos que descargas de Internet, especialmente de fuentes desconocidas o mensajes que te mandan sin que los hayas solicitado, y contar con un buen antivirus que actualices constantemente. Actualiza tu móvil y los programas instalados y si ves algo sospechoso haz las comprobaciones oportunas.