Скрытый майнер Monero был обнаружен в аудиофайлах WAV
Исследование показало, что некоторые из файлов WAV содержат код, связанный с майнером XMRig Monero CPU. Другие включали в себя код Metasploit, используемый для создания обратной оболочки. Обе нагрузки были обнаружены в одной и той же среде, что предполагает двухэтапную кампанию по внедрению вредоносных программ с целью получения финансовой выгоды и организации удаленного доступа в сети жертвы.
Загрузчики файлов WAV могут быть сгруппированы в следующие три категории, выделенные разработчиками BlackBerry Cylance:
Загрузчики, которые используют стеганографию наименьшего значимого бита (LSB) для декодирования и выполнения PE-файла.
Загрузчики, которые используют алгоритм декодирования на основе rand () для декодирования и выполнения PE-файла.
Загрузчики, которые используют алгоритм декодирования на основе rand () для декодирования и выполнения шеллкода.
Каждый подход позволяет злоумышленникам составлять код из другого безвредного формата файла. Эти методы показывают, что исполняемый контент теоретически может быть скрыт внутри любого типа файла, при условии, что злоумышленник не повредит структуру и обработку формата контейнера. Принятие этой стратегии создаёт дополнительный уровень запутывания, потому что основной код обнаруживается только в памяти. Из-за этого обнаружение вируса становится более сложным, как подчеркнули специалисты.