Nós todos sabemos o que significa “ler nas entrelinhas” no sentido figurado, mas antes de usar a tecnologia atual para se comunicar uns com os outros, as pessoas levaram a expressão ao pé da letra para escreverem mensagens invisíveis e secretas entre as linhas em uma carta aparentemente normal.
Essa técnica, através da qual o autor de uma mensagem oculta a informação secreta em algo inocente a olho nu, é conhecida como esteganografia e é quase tão antiga quanto a escrita. Ao contrário da criptografia, que codifica a mensagem para que não possa ser lida sem a chave, o objetivo da esteganografia é ocultar a existência da mensagem de olhos curiosos. Como acontece com outros métodos de gerenciamento de informações, a esteganografia também é usada em tecnologias digitais.
Como funciona a esteganografia digital?
Em quase todos os objetos digitais, você pode ocultar uma mensagem secreta, seja em um documento de texto, em uma chave de licença ou mesmo na extensão de um arquivo. Por exemplo, os editores do Genius.com, site dedicado a analisar músicas de rappers, utiliza dois tipos de apóstrofos em suas letras online que, quando combinadas, formavam as palavras “red handed” (em flagrante) em código morse, com intuito de proteger cópias desautorizadas do conteúdo exclusivo oferecido.
Um dos “containers” estenógrafos preferidos são arquivos multimídia (imagens, áudios, vídeos, etc), porque, para começar, são geralmente grandes, permitindo que carga extra seja adicionada, se compararmos com um documento texto, por exemplo.
As informações secretas podem estar gravadas nos metadados do arquivo ou diretamente no conteúdo principal. Nosso exemplo será uma imagem. Do ponto de vista do computador, é a coleção de centenas de milhares de pixels e cada pixel tem uma “descrição” que informa sobre sua cor.
Quanto ao formato RGB, usado na maioria das imagens coloridas, essa descrição ocupa 24 bits de memória. Se apenas 1 a 3 bits da descrição de alguns ou até de todos os pixels contiverem informações secretas, as alterações da imagem em geral são imperceptíveis. Dado o grande número de pixels nas imagens, você pode escrever muitos dados neles.
Na maioria dos casos, a informação é ocultada nos pixels e extraída usando ferramentas especiais. Para isso, os estenógrafos de hoje às vezes escrevem scripts personalizados ou adicionam a funcionalidade necessária em programas com outras finalidades. E, ocasionalmente, eles usam códigos desenvolvidos para isso, já prontos, disponíveis abundantemente online.
Como a esteganografia digital é usada?
A esteganografia pode ser incorporada às tecnologias da informação de diferentes maneiras. Você pode ocultar o texto em uma imagem, vídeo ou música, seja por diversão ou, como no caso anterior, para proteger um arquivo de cópia ilegal.
A ocultação de marcas d’água é outro bom exemplo de esteganografia. No entanto, a primeira coisa que pensamos quando falamos de mensagens secretas, seja digital ou fisicamente, é em correspondência secreta e espionagem.
A bênção para os ciberespiões
Há 18 meses, nossos especialistas indicaram o crescimento do interesse dos cibercriminosos na esteganografia. Naquela época, nada menos do que três campanhas de spyware foram detectadas, nas quais os dados das vítimas foram enviados para servidores de comando e controle escondidos em fotos e vídeos.
Do ponto de vista dos sistemas de segurança e dos funcionários cujo trabalho é monitorar o tráfego de saída, não havia nada para suspeitar do upload online desses arquivos multimídia. E é nisso que os criminosos apostaram.
O meio mais sutil: os memes
Enquanto isso, outro spyware recebia comandos por meio de imagens. O malware se comunicava com os cibercriminosos por meio de uma fonte muito sutil: memes publicados no Twitter.
Uma vez no computador da vítima, o malware abria o tweet e extraia as instruções da imagem. Alguns dos direcionamentos eram:
- Tirar um printscreen da área de trabalho,
- Coletar informações sobre os processos em execução,
- Copiar os dados da área de transferência,
- Escrever os nomes dos arquivos de pastas específicas.
Código em imagens
Os arquivos multimídia não apenas escondem texto, como também partes de códigos maliciosos, de modo que outros criminosos começaram a seguir o rastro dos espiões. O uso da esteganografia não converte uma imagem, vídeo ou música em malware, mas podem ser usados para ocultar uma grande quantidade de payload das verificações dos antivírus.
Em janeiro, os cibercriminosos distribuíram um banner nas redes de anúncios que não continham nenhum tipo de propaganda, e que não era mais do que um pequeno retângulo branco, mas dentro havia um script que precisava ser executado em um navegador. Isso era absolutamente legal, já que as empresas podem inserir scripts em anúncios para coletar estatísticas sobre a exibição, por exemplo.
O script dos cibercriminosos reconheceu a cor dos pixels na imagem e a registrou como um conjunto de letras e números. Pode parecer inútil, já que não havia nada além de um retângulo branco. No entanto, para o programa, os pixels não eram brancos, mas quase brancos e “quase” os tornavam um código malicioso que era executado corretamente.
O código extraído da imagem redirecionou o usuário para o site dos cibercriminosos. Lá a vítima encontrou um Trojan disfarçado como uma atualização do Adobe Flash Player que baixou outros objetos maliciosos, especificamente, adware.
Detectar esteganografia não é fácil
Como o especialista Simon Wiseman disse na conferência RSA 2018, é muito difícil detectar esteganografia de alta qualidade. E desfazê-la não é uma tarefa simples. Existem métodos para incorporar mensagens em imagens de uma maneira tão complexa que elas ainda estão lá depois de imprimir e digitalizar, redimensionar e até mesmo editar.
No entanto, como já mencionamos, as informações (incluindo o código) são extraídas de imagens e vídeos por meio de uma ferramenta especial. Ou seja, os arquivos não roubam nem baixam nada no seu computador. Portanto, você pode manter seu dispositivo seguro ao protegê-lo contra componentes de malware que ocultam texto ou códigos maliciosos em arquivos de mídia:
- Se o endereço do remetente ou qualquer outro conteúdo for suspeito, é melhor ignorar.
- Se você tiver que baixar um arquivo, use sempre fontes confiáveis. Por exemplo, faça o download dos aplicativos das lojas oficiais ou dos sites dos desenvolvedores. O mesmo acontece com filmes e músicas. Não baixe nada de fontes desconhecidas.
- Use uma porque, mesmo que não reconheça o código na imagem, ela pode interceptar as ações suspeitas de outros módulos de malware.