Veelgebruikte wav-bestanden blijken een bron van malware te zijn. Hackers gebruiken de audiobestanden om het netwerk van gebruikers binnen te dringen of om geld af te troggelen. Dat blijkt uit onderzoek van ai- en securitybedrijf Blackberry Cylance.
De onderzoekers ontdekten malware die was toegevoegd aan wav-bestanden, een populair bestandsformaat voor audiofragmenten. De malware werkt in combinatie met bepaalde loader componenten. Die ontsleutelen de code en voeren hem vervolgens uit. Het gaat onder meer om loaders die gebruikmaken van Least-significant bit (LSB) steganografie, een techniek om informatie te verbergen in de minst-opvallende bit van elke byte aan informatie.
De malware blijkt lastig te ontdekken, schrijft het onderzoeksteam in hun rapport. Als je de audiobestanden afspeelt, hoor je er niets van. Bij sommige varianten hoor je alleen een statische toon, ook wel white noise geheten. Toch blijken de bestanden besmet met code, waarvan de onderzoekers weten dat deze regelmatig wordt ingezet om gedupeerden geld af te troggelen of ermee op afstand toegang tot hun netwerk te verkrijgen.
Elk bestandstype
Volgens de onderzoekers kunnen kwaadwillenden met de nu ontdekte malwaretechniek aan elk bestandstype executable (uitvoerbare) inhoud toevoegen zonder dat dit opvalt, zolang de structuur en het verwerkingsproces van het bestand niet worden verstoord. Tot dusver kwam steganografische malware voornamelijk voor in png-bestanden, aldus Josh Lemos, manager Research & Intelligence bij Blackberry Cylance.
De onderliggende code komt pas boven water in het werkgeheugen van Windows-servers en Windows-desktopcomputers, weet Lemos. Dit maakt het volgens hem lastig om het gevaar tijdig te herkennen en onschadelijk te maken. Afgelopen juni waarschuwde ict-beveiliger Symantec ook al voor malware die werkt in combinatie met een vergelijkbare steganografische loader.
Blackberry Cylance is het ai- en ict-securitybedrijfsonderdeel van Blackberry, ontstaan na de overname van Cylance eind 2018.
