Se puede abusar de las imágenes de Twitter para ocultar archivos ZIP y MP3: así es como

Ayer, un investigador reveló un método para ocultar hasta tres MB de datos dentro de una imagen de Twitter.

En su demostración, el investigador mostró tanto archivos de audio MP3 como archivos ZIP contenidos en imágenes PNG alojadas en Twitter.

Aunque el arte de ocultar datos que no son imágenes en imágenes (esteganografía) no es nuevo, el hecho de que las imágenes se puedan alojar en un sitio web popular como Twitter y no se desinfecten abre la posibilidad de que los malos cometan abusos.

Una imagen que canta ...

Ayer, investigador y programador David Buchanan adjunto imágenes de muestra de sus tweets que contenían datos como archivos ZIP completos y archivos MP3 ocultos en su interior.

Aunque los archivos PNG adjuntos alojados en Twitter representan imágenes válidas cuando se obtienen una vista previa, fue suficiente descargar y cambiar la extensión del archivo para obtener contenido diferente del mismo archivo.

Como señaló BleepingComputer, la imagen de 6 KB tuiteada por el investigador contiene un archivo ZIP completo.

El ZIP contiene el código fuente de Buchanan que cualquiera puede usar para comprimir varios contenidos en una imagen PNG.

Para aquellos que prefieren el enfoque un poco menos práctico, el investigador también ha proporcionado el código fuente para generar lo que llama tweetable-políglota-png archivo en GitHub.

En otro ejemplo subido a Twitter, Buchanan tuiteó una imagen que podía cantar.

"Descargue esto, cámbiele el nombre a .mp3 y ábralo en VLC para una sorpresa. (Nota: asegúrese de descargar la versión de resolución completa del archivo, debe ser 2048x2048px)," Ella dijo investigador.

Según lo probado por BleepingComputer, la imagen ubicada en el servidor de imágenes de Twitter a continuación tiene un tamaño de aproximadamente 2,5 MB y se puede guardar con una extensión ".mp3".

https://pbs.twimg.com/media/Ewo_O6zWUAAWizr?format=png&name=large

Una vez abierto, el archivo de imagen, ahora convertido a MP3, comenzará a reproducir la canción. Nunca va a dar de Rick Astley.

"Twitter comprime imágenes, la mayor parte del tiempo, pero hay algunos escenarios en los que no lo hacen".

"Twitter también intenta eliminar cualquier metadato no esencial, por lo tanto, cualquier metadato existente "archivo políglota" las técnicas no funcionarían. "

"El nuevo truco que descubrí es que puedes agregar datos al final del 'DESINFLAR"stream (la parte del archivo que almacena los datos de píxeles comprimidos) y Twitter no lo eliminará", dijo Buchanan a BleepingComputer en una entrevista por correo electrónico.

Abierto al abuso por parte de actores de amenazas sigilosos

Las técnicas de esteganografía a menudo son explotadas por amenazas furtivas, ya que les permiten ocultar comandos maliciosos, cargas útiles y otro contenido en archivos de apariencia normal, como imágenes.

Ayer mismo, BleepingComputer informó sobre una nueva técnica de exfiltración que utilizaba a los ciberdelincuentes al ocultar información de tarjetas de crédito robadas en imágenes JPG.

El hecho de que Twitter no siempre elimine información extraña de una imagen, como lo demostró Buchanan, abre espacio para el abuso de la plataforma por parte de los actores de amenazas.

Además, lo que plantea un desafío adicional es bloquear el tráfico de imágenes de Twitter, lo que podría afectar las operaciones legítimas.

Por ejemplo, un administrador de red que bloquea el dominio de imagen de Twitter. pbs.twimg.com también provocaría el bloqueo de imágenes legítimas alojadas en Twitter.

Dicho esto, Buchanan cree que su técnica de imagen PNG de prueba de concepto puede no ser particularmente útil por sí sola, ya que se pueden utilizar múltiples métodos de esteganografía.

"No creo que esta técnica sea particularmente útil para los atacantes, porque las técnicas de esteganografía de imágenes más tradicionales son más fáciles de implementar (e incluso más sigilosas)".

Sin embargo, lo más probable es que la técnica PNG demostrada por el investigador pueda ser utilizada por el malware para facilitar sus actividades de comando y control C2.

"Pero quizás podría usarse como parte de un sistema C2, para distribuir archivos maliciosos a hosts infectados", dijo Buchanan también a BleepingComputer.

Del mismo modo, dado que los sistemas de monitoreo de red pueden considerar a Twitter como un host seguro, la distribución de malware a través de Twitter utilizando tales archivos de imagen sigue siendo un método viable para eludir los programas de seguridad.

Cuando se le preguntó si Twitter estaba al tanto de este error, el investigador le dijo a BleepingComputer:

"Informé mi truco original basado en JPEG al programa de recompensas de errores de Twitter, pero dijeron que no era un error de seguridad, así que no me molesté en informarles".

En su ejemplo de 2018, según lo informado por BleepingComputer, Buchanan tuiteó una pequeña miniatura JPG que contenía la enorme colección del Proyecto Gutenberg. Las obras completas de William Shakespeare.

Anteriormente, los atacantes hacían mal uso de servicios legítimos como Imgur para alojar sus imágenes, que luego se utilizaron para calcular la carga útil maliciosa de Cobalt Strike.

BleepingComputer se acercó a Twitter para hacer comentarios antes de publicar este artículo, pero aún no hemos recibido una respuesta.