Złośliwych oprogramowań infekujących pliki jest mnóstwo, a przy tym niektóre z nich służą do kradzieży danych, czy pieniędzy, w tym kryptowalut. Jak podaje serwis Computer Weekly, takie oprogramowanie do nielegalnego pozyskiwania kryptowalut zostało nie tak dawno temu wykryte w pliku dźwiękowym .wav, spreparowanym przez cyberprzestępców w celu dystrybuowania wirusa.

Poinformowała o tym fakcie firma Guardicore Labs, która stoi za wykryciem tego sposobu działania hakerów. Przypadek użycia złośliwego oprogramowania dotyczył ofiary z branży medycznej, a zaobserwowany został przez ekspertów firmy w grudniu ubiegłego roku. Cechą charakterystyczną plików dźwiękowych .wav jest to, że są one zazwyczaj dużo większe od innych popularnych formatów audio, jak przykładowo MP3, a to z powodu braku kompresji. Takie pliki są jednak bardzo użyteczne podczas wykorzystywania ich szczególnie przez osoby z branży muzycznej albo radiowej, ponieważ ich możliwości optymalizacji jakości nagrań są dużo wyższe od możliwości plików z danymi skompresowanymi.

Zainfekowane wirusem pliki dźwiękowe

Specjaliści Guardicore Labs twierdzą, że plik .wav pozwolił cyberprzestępcom zainfekować sieć urządzeń do pozyskiwania kryptowaluty monero, przy wykorzystaniu podatności EternalBlue. Już dużo wcześniej, podczas globalnego cyberataku z 2017 roku, ta sama podatność posłużyła cyberprzestępcom do rozpowszechniania WannaCry, złośliwego programu szyfrującego, a atak obecny z wykorzystaniem pliku dźwiękowego .wav przeprowadzono na komputery wyposażone w system Windows 7. Warto tutaj przypomnieć, że firma Microsoft wygasiła w tym tygodniu wsparcie dla Windows 7 pozbawiając oprogramowanie realnej ochrony, atak więc można uznać za celowo wymierzony właśnie w ten, osłabiany już od dłuższego czasu system.

Atak na komputery z Windows 7

Zaatakowana sieć podmiotu została określona na ponad 800 komputerów z Windows 7, na których został wykryty skrypt wykorzystywany przez cyberzłodziei, przy tym pierwsze nieprawidłowości zostały zarejestrowane przez administratorów sieci jeszcze w październiku ubiegłego roku. Wówczas to zgłoszono na kilku komputerach sieci wyświetlenie się nieoczekiwane tzw. niebieskiego ekranu śmierci, wynikającego z błędu jądra systemu. Jednakże według Guardicore Labs, tamto zdarzenie, czy też próba ataku, zdołało zainfekować skutecznie tylko jeden z komputerów sieci. Znaleziono na nim ciąg kodu, który zawierał polecenie dostępu do danych klucza rejestru.

Podczas kontroli urządzenia eksperci firmy GL usunęli z sieci zaatakowanego podmiotu złośliwego wirusa, a także zatrzymali wywołane przez złośliwe oprogramowanie procesy, kasując klucze klucze rejestru nadpisane przez cyberprzestępców.

Firma Guardicore Labs podkreśla w swoim raporcie, że jest to pierwszy, w całości zaobserwowany przypadek wykorzystania techniki steganografii do ukrycia przez hakerów złośliwego oprogramowania w jakimkolwiek pliku dźwiękowym, a który z powodzeniem został wykorzystany do przeprowadzenia cyberataku.