Ataques embebidos en archivos de imágenes

Investigadores de Sucuri, una firma especializada en seguridad de sitios web y recuperación de ataques, ha descubierto ataques utilizando un método ya conocido pero bastante raro de mantener el acceso a un servidor ya atacado: se esconden tras los nombres de archivos de imágenes legítimos.
Daniel Cid, CTO de Sucuri, afirmó en una entrevista que la compañía ha descubierto más de una docena de sitios que habían sido impactados por esta forma de ataque. No obstante no mencionó si había alguna evidencia que conectara a todos ellos a una única fuente. Por el momento la compañía sigue investigando y trabaja con sus clientes.
Las imágenes fueron descubiertas en un servidor web previamente atacado. Cid afirmó durante una entrevista telefónica que en los casos que habían visto hasta ahora, el sitio web estaba rodando, bien una versión antigua de WordPress (una plataforma CMS utilizada por millones de dominios), o versiones anticuadas de Joomla, que se una plataforma similar alternativa a WordPress.
Las imágenes en sí “todavía se ejecutan y funcionan perfectamente”, según Cid.
“De hecho, en los sitios comprometidos, los atacantes modificaron una imagen preexistente legítima del site. Es una curiosa forma esteganográfica de esconder el malware”.
Una vez que se entra al servidor, los atacantes modifican los encabezamientos EXIF de la imagen y recargan la imagen.  De esta forma la imagen se carga normalmente y el webmaster no notará nada extraño.  No obstante si se descubre el ataque y se refuerza la seguridad del servidor, la imagen ofrece un control firme que los atacantes utilizarán posteriormente para  volver a acceder al servidor.
Prevenir o detectar estos ataques es difícil, y la recomendación de Cid es monitorizar la integridad de los archivos. “Si se puede detectar que los archivos han sido modificados, entonces se puede descubrir este tipo de ataque.”