La esteganografía moderna supone el uso de canales encubiertos para ocultar cierta información dentro de archivos multimedia.
Aunque esta técnica puede tener distintos usos en ciberseguridad, lamentablemente, en manos de los actores de amenazas su uso puede resultar bastante peligroso.
La firma SiteLock habla de hasta 5 tipos de esteganografía: de texto, de imagen, de audio, de vídeo y de red o protocolo.
La segunda es cada vez más común y, además, resulta difícil de identificar, puesto que el ojo humano no distingue bien cambios menores que involucran ruido o color en una imagen.
Según SiteLock, la práctica de ocultar datos secretos en imágenes se logra principalmente a través de un método conocido como 'bit menos significativo' (least significant bit), en el que las partes más pequeñas y más fáciles de pasar por alto de cada píxel se reemplazan con bits de la información oculta.
Al usar la esteganografía de imagen los ciberdelincuentes llegan a evadir los sistemas de seguridad al ofuscar la carga útil y llevan a cabo comunicaciones encubiertas o exportaciones de datos, entre otras cosas.
Incluso con una imagen que esté visiblemente distorsionada, la ofuscación puede evadir las defensas exitosamente, llevando a la ejecución de malware en la memoria.
Una amenaza en boga
Investigadores de ciberseguridad de la firma Morphisec Threat han descubierto recientemente que algunos actores de amenazas están usando técnicas de estenografía para ocultar malware en archivos PNG.
La compañía informa de que el actor de amenazas UAC-0184 entregó el troyano de acceso remoto (RAT) Remcos a una entidad ucraniana en Finlandia.
Remcos es un RAT comercial que facilita a los atacantes controlar computadoras infectadas, robar datos y monitorizar actividades con poco esfuerzo.
En dicha campaña el cargador IDAT es clave, ocultando código malicioso en imágenes o vídeos. Según se hace eco CibersecurityNews, IDAT es un cargador avanzado cuyas técnicas sofisticadas incluyen carga dinámica, pruebas de conectividad HTTP y llamadas al sistema para evasión.
Este adversario dirigido a entidades con sede en Ucrania trataba de expandirse a entidades afiliadas, aunque Morphisec habla de un foco específico en las entidades de Ucrania en Finlandia.
Una práctica muy antigua
Aunque hemos hablado en términos de ciberseguridad, lo cierto es que la estaganografía es una práctica que se lleva realizando desde hace muchos siglos.
En el siglo V el historiador y geógrafo Heródoto ya daba algunos ejemplos en su libro Las historias. Uno de sus relatos, bastante cruel, comprende cómo un personaje había rasurado a navaja la cabeza de uno de sus esclavos, tatuando el mensaje que quería transmitir en su cuero cabelludo. Para ocultarlo esperó a que el pelo le creciera y una vez oculto, le envió el hombre al receptor pidiéndole que le rapara la cabeza para poder leer el texto.
No obstante, el término tiene su origen mucho después, en el siglo XVI. En su obra llamada Steganographia el abad alemán Johannes Trithenius hablaba sobre la encriptación de mensajes y otros temas esotéricos.