Hackers utilizaban los servidores de Google para alojar código malicioso

En el pasado, los investigadores de seguridad se encontraron con casos en los que hackers notorios podían usar datos EXIF ​​de imágenes para ocultar códigos maliciosos. Esta técnica todavía se usa ampliamente para infectar a los usuarios de la web con malware.

Yendo un paso más allá, se ha descubierto que los hackers han encontrado una forma de compartir malware a través de servidores confiables de Google como los de googleusercontent. Al contrario del malware almacenado en los archivos de texto, es mucho más difícil detectar cargas maliciosas en las imágenes. Por otra parte, es aún más difícil informar el malware encontrado en googleusercontent.com a Google.

Relacionado: BuckHacker: el motor de búsqueda te permite encontrar servidores pirateables

Según un informe de Sucuri , el siguiente código fue detectado en un script que extrae el código de seguridad de PayPal:

Pac-Man contaminado

Este código se encontró al comienzo de un script malicioso que roba tokens de seguridad de PayPal.

Ejecutando código desde datos EXIF

Como puede ver, lee “datos EXIF” de una imagen de pacman.jpg alojada en los servidores de Google, probablemente cargada con una cuenta de Blogger o de Google+. La sección ” UserComment ” de esos datos se decodifica y ejecuta.

Aunque es de muy mala calidad, la imagen a la que se hace referencia en el código resulta ser una imagen real de Pac-Man.

pacman.jpg

Para aquellos que no saben, googleusercontent es el dominio de Google para servir contenido proporcionado por el usuario sin afectar la seguridad de las páginas propias de Google.

El script leyó datos EXIF ​​de una imagen de googleusercontent, que probablemente alguien subió a una cuenta de Google+ o Blogger. Cuando se decodificó la sección UserComment de sus datos EXIF, resultó ser un script que tiene la capacidad de cargar un shell web y archivos arbitrarios.

Esto subraya una amenaza mayor ya que no hay forma de detectar el malware hasta que uno verifique los metadatos de las imágenes y las descodifique. Incluso después de detectar el malware, uno no puede saber la fuente real de la imagen.

Relacionado: Cómo realizar una búsqueda en inversa en Google