Злоумышленники встраивают в WAV-файлы криптомайнер XMRig и код Metasploit для установки обратной оболочки.

Специалисты BlackBerry Cylance обнаружили новую вредоносную кампанию по распространению бэкдоров и ПО для майнинга криптовалюты. Главная особенность данной операции заключается в том, что для сокрытия и загрузки вредоносного ПО на атакуемые компьютеры злоумышленники используют аудиофайлы в формате WAV.

Техники сокрытия вредоносного ПО с помощью стеганографии в файлах графических форматов JPEG и PNG очень часто используются киберпреступниками для обхода антивирусных решений. Однако аудиофайлы для этих целей применяются крайне редко. Если говорить точнее, то недавно обнаруженная вредоносная кампания является второй в своем роде.

Как в июне нынешнего года сообщали исследователи компании Symantec, киберпреступная группировка Turla прятала общественно доступный бэкдор Metasploit Meterpreter в WAV-файле и с его помощью заражала атакуемые системы. Однако недавно специалисты BlackBerry Cylance обнаружили, что данная техника также стала использоваться для распространения криптовалютного майнера XMRig и кода Metasploit для установки обратной оболочки.

К каждому WAV-файлу прилагается загрузчик для декодирования и выполнения вредоносного контента, незаметно вплетенного в аудиоданные. При воспроизведении некоторых аудиофайлов действительно играет музыка без каких-либо помех и проблем с качеством, однако при воспроизведении других слышен лишь белый шум.

Кто стоит за новой кампанией, исследователи пока не могут понять. Хотя метод распространения вредоносного ПО с помощью WAV-файлов ранее уже использовала группировка Turla, новая операция может быть делом рук кого-то другого.