Malware Oculto en Imágenes PNG: Una Amenaza Invisible

19/04/2024

★★★★★Valoración: 4.73 (532 votos)

En el vasto universo digital, las imágenes son omnipresentes. Las usamos a diario, las compartimos, las descargamos, confiando en que son simples representaciones visuales. Sin embargo, los ciberdelincuentes, siempre a la vanguardia de la innovación maliciosa, han encontrado formas ingeniosas de convertir algo tan inofensivo como un archivo de imagen en un vehículo para el malware más peligroso. Un ejemplo reciente y particularmente preocupante es la evolución de la cepa de malware conocida como Ghostpulse, que ahora utiliza los píxeles de las imágenes PNG para ocultar su carga útil principal.

What virus is hidden in PNG? — The Ghostpulse malware strain now retrieves its main payload via a PNG image file's pixels. This development, security experts say, is "one of the most significant changes" made by the crooks behind it since launching in 2023.

Esta técnica representa uno de los cambios más significativos realizados por los responsables de Ghostpulse desde su aparición en 2023. Los expertos en seguridad advierten que este desarrollo hace que la detección sea aún más difícil, aprovechando la popularidad y la naturaleza del formato PNG.

Índice de Contenido

El Atractivo y el Peligro del Formato PNG
Ghostpulse: La Nueva Era del Sigilo Pixelado
Ghostpulse: El Loader para Amenazas Mayores como Lumma
El Vector de Ataque: Ingeniería Social y Trucos Web
Tabla Comparativa de Técnicas de Ocultación de Malware en PNG
Desafíos en la Detección y Estrategias de Defensa
- Medidas Concretas para Protegerse
Preguntas Frecuentes sobre Malware en PNG
Conclusión

El Atractivo y el Peligro del Formato PNG

El formato de archivo PNG (Portable Network Graphics) es ampliamente utilizado para gráficos web debido a que es un formato sin pérdida de compresión. Esto significa que retiene detalles clave, como contornos de texto suaves, a diferencia de formatos con pérdida como JPG. Su estructura interna, compuesta por "chunks" o bloques de datos que contienen diversa información (cabecera, datos de imagen, metadatos), lo hace robusto pero también complejo. Y es precisamente esta complejidad la que los atacantes explotan.

Históricamente, el malware ha buscado formas de camuflarse dentro de archivos aparentemente benignos. La técnica de ocultar datos dentro de otros datos se conoce como esteganografía, y las imágenes son un medio ideal para esto. En versiones anteriores, Ghostpulse ya utilizaba métodos sigilosos, como ocultar payloads en el chunk IDAT de un archivo PNG, donde residen los datos de la imagen comprimida. Aunque efectivo hasta cierto punto, los defensores desarrollaron métodos para detectar anomalías en estos chunks.

Ghostpulse: La Nueva Era del Sigilo Pixelado

La innovación más reciente de Ghostpulse va un paso más allá. En lugar de manipular chunks específicos, ahora analiza los píxeles de la imagen, incrustando los datos maliciosos directamente dentro de su estructura visual. Según Salim Bitam de Elastic Security Labs, el malware construye un array de bytes extrayendo secuencialmente los valores de rojo, verde y azul (RGB) de cada píxel utilizando APIs estándar de Windows de la biblioteca GdiPlus (GDI+).

Una vez que se construye este array de bytes, el malware busca una estructura específica que contiene la configuración cifrada de Ghostpulse, incluida la clave XOR necesaria para la descifración. Lo hace recorriendo el array en bloques de 16 bytes. Por cada bloque, los primeros cuatro bytes representan un hash CRC32, y los siguientes 12 bytes son los datos a hashear. El malware calcula el CRC32 de los 12 bytes y verifica si coincide con el hash proporcionado. Si se encuentra una coincidencia, extrae el offset de la configuración cifrada, su tamaño y la clave XOR de cuatro bytes, y luego la descifra usando XOR.

Este método es extremadamente difícil de detectar mediante análisis de archivos tradicionales, ya que los datos maliciosos están dispersos y camuflados como información de píxeles legítima. La carga útil no reside en un chunk obvio o en una sección fácilmente identificable, sino en la propia trama de la imagen.

Ghostpulse: El Loader para Amenazas Mayores como Lumma

Es importante entender que Ghostpulse a menudo funciona como un "loader" o cargador para tipos de malware más peligrosos y devastadores. El ejemplo más citado es el infostealer Lumma. Lumma es descrito por expertos de Cyfirma como una oferta de malware-as-a-service (MaaS) "potente" y "sofisticada" que ha estado activa desde 2022. Este tipo de malware está diseñado específicamente para robar información sensible.

Are PNG download sites safe? — Yes, PNG files can carry viruses or malware that can infect a computer. Hackers may use a technique called "steganography" to hide malicious code into PNG files that can evade detection by antivirus programs. Therefore, it's essential to have updated antivirus software that can detect and block any potential threats.

Lumma apunta a una amplia gama de datos, incluyendo carteras de criptomonedas, datos de navegadores web (contraseñas guardadas, cookies, historial), clientes de correo electrónico e incluso extensiones de navegador utilizadas para autenticación de dos factores (2FA). Su prevalencia y disponibilidad (se dice que el acceso puede comprarse por tan poco como 250 dólares) lo convierten en una amenaza significativa tanto para organizaciones como para individuos.

La combinación de Ghostpulse como un loader sigiloso escondido en un PNG y Lumma como el devastador infostealer que se descarga posteriormente, crea un escenario de ataque muy efectivo y difícil de contrarrestar si no se tienen las defensas adecuadas.

El Vector de Ataque: Ingeniería Social y Trucos Web

La sofisticación de la técnica de ocultación en píxeles va de la mano con los métodos de ingeniería social utilizados para que la víctima descargue el archivo malicioso en primer lugar. Según Bitam, una técnica común implica engañar a las víctimas para que visiten un sitio web controlado por el atacante y validen lo que parece ser un CAPTCHA de rutina.

Sin embargo, en lugar de simplemente marcar una casilla o identificar objetos en imágenes, se instruye a las víctimas a ingresar atajos de teclado específicos. Estos atajos copian código JavaScript malicioso al portapapeles del usuario. A partir de ahí, se ejecuta un script de PowerShell (a menudo descargado o activado por el JavaScript) que descarga y ejecuta la carga útil de Ghostpulse, que a su vez puede descargar a Lumma.

McAfee ha detectado recientemente este mismo método siendo utilizado para desplegar Lumma, aunque no siempre se referencia la participación explícita de Ghostpulse en el análisis público. También se han visto campañas dirigidas a usuarios de GitHub a través de correos electrónicos falsos que solicitan solucionar supuestas vulnerabilidades de seguridad inexistentes.

Estos métodos son significativamente más avanzados que las versiones iniciales de Ghostpulse, que a menudo dependían de que las víctimas descargaran ejecutables sospechosos tras esfuerzos de SEO poisoning (manipulación de resultados de búsqueda para llevar a sitios maliciosos) o malvertising (publicidad maliciosa).

Tabla Comparativa de Técnicas de Ocultación de Malware en PNG

Para entender mejor la evolución, comparemos las técnicas utilizadas por Ghostpulse:

Técnica	Ubicación del Malware	Método de Extracción por el Malware	Dificultad de Detección (para análisis de archivo)
Ocultación en Chunk	Dentro de chunks de datos (ej. IDAT)	Buscar y extraer datos de chunks específicos con formato anómalo.	Moderada (posibles anomalías en la estructura del chunk)
Ocultación en Píxeles	Incrustado en los valores RGB de los píxeles de la imagen.	Leer valores RGB secuencialmente, construir array, buscar estructura con CRC32, descifrar.	Alta (datos camuflados como información de imagen legítima)

Desafíos en la Detección y Estrategias de Defensa

La naturaleza sigilosa de estas técnicas plantea un desafío significativo para los métodos de escaneo de malware basados en archivos simples. Dado lo extendido que está Lumma entre los ciberdelincuentes, es fundamental asegurarse de que las defensas estén preparadas para bloquear estas amenazas.

Is there animated PNG? — Animated PNG is widely supported by modern browsers such as Mozilla Firefox, Google Chrome, Safari, Opera etc. APNG is also supported by all the major image processing platforms.

Aunque los antivirus tradicionales pueden tener dificultades para detectar el malware *dentro* del archivo PNG usando la técnica de píxeles, las soluciones de seguridad avanzadas están adaptándose. Los expertos de Elastic han lanzado reglas YARA actualizadas que ayudan a atrapar a Ghostpulse en etapas más tempranas de la infección o a detectar su comportamiento sospechoso en memoria o durante la ejecución, incluso si el archivo inicial evade el escaneo estático.

Medidas Concretas para Protegerse

Protegerse contra ataques basados en archivos PNG que ocultan malware requiere una combinación de software actualizado y hábitos de navegación seguros:

Mantén tu software de seguridad actualizado: Asegúrate de que tu antivirus y otras herramientas de seguridad (como firewalls) estén siempre al día. Las firmas y reglas de detección se actualizan constantemente para incluir nuevas amenazas como las técnicas de Ghostpulse y Lumma.
Sé cauteloso con las descargas: Evita descargar archivos PNG (o cualquier otro archivo) de fuentes no confiables, sitios web sospechosos o correos electrónicos inesperados. Si un sitio web te pide descargar algo inusual, desconfía.
Desconfía de CAPTCHAs extraños: Si un CAPTCHA te pide realizar acciones inusuales, como presionar atajos de teclado, cierra la página inmediatamente. Este es un claro indicio de un intento de ataque.
Mantén tu sistema operativo y software al día: Las actualizaciones a menudo incluyen parches para vulnerabilidades que podrían ser explotadas por malware.
Configura tu sistema para no ejecutar archivos automáticamente: Ten cuidado con la configuración de descargas y la ejecución automática de scripts o archivos descargados de internet.

Preguntas Frecuentes sobre Malware en PNG

¿Pueden los archivos PNG contener virus o malware?

Sí, los archivos PNG pueden contener virus o malware. Aunque el formato en sí mismo no es inherentemente peligroso, los atacantes pueden utilizar técnicas como la esteganografía para ocultar código malicioso dentro de los datos de la imagen, incluso en los valores de los píxeles, como hace Ghostpulse.

¿Cómo se esconde el malware en un archivo PNG?

Hay varias técnicas. Una es ocultar datos maliciosos dentro de chunks de información del archivo PNG que no afectan la visualización normal de la imagen. Una técnica más avanzada, utilizada por Ghostpulse, es incrustar los datos maliciosos directamente en los valores de color (RGB) de los píxeles de la imagen. El malware luego sabe cómo extraer y reensamblar estos datos.

¿Qué medidas puedo tomar para protegerme de ataques basados en PNG?

Las medidas clave incluyen mantener tu software de seguridad (antivirus, firewall) actualizado, ser extremadamente cauteloso al descargar archivos de internet (especialmente de fuentes no confiables), mantener tu sistema operativo y otras aplicaciones al día con los últimos parches, y desconfiar de solicitudes inusuales en sitios web, como CAPTCHAs que piden atajos de teclado.

¿Es necesario convertir un archivo PNG a otro formato para que sea seguro?

Generalmente no. El formato PNG no es el problema; el problema es el contenido malicioso incrustado por los atacantes. Convertir el archivo sin analizarlo no garantiza la eliminación del malware. La mejor defensa es tener software de seguridad actualizado que pueda detectar estas técnicas sigilosas y evitar descargar archivos de fuentes no confiables en primer lugar.

¿Son seguros todos los sitios de descarga de imágenes PNG?

No, no todos los sitios son seguros. Los ciberdelincuentes pueden comprometer sitios legítimos o crear sitios falsos para distribuir archivos maliciosos. Siempre descarga imágenes de fuentes confiables y utiliza software de seguridad que escanee los archivos descargados.

Conclusión

La familia de malware Ghostpulse ha evolucionado significativamente desde su lanzamiento en 2023, con la técnica de ocultación en píxeles marcando un cambio importante en su sofisticación. Como los atacantes continúan innovando y encontrando nuevas formas de explotar formatos de archivo comunes y técnicas de ingeniería social, los defensores deben adaptarse. Utilizar herramientas de seguridad actualizadas, comprender los vectores de ataque y practicar hábitos de navegación seguros son pasos esenciales para mitigar eficazmente estas amenazas. La lucha contra el malware oculto en imágenes es un recordatorio constante de que la seguridad en línea requiere vigilancia y adaptación continuas.

Si quieres conocer otros artículos parecidos a Malware Oculto en Imágenes PNG: Una Amenaza Invisible puedes visitar la categoría Automóviles.