In bestimmten Fällen können wir Einnahmen erzielen, wenn ein Leser einen Kauf tätigt oder ein Formular auf unseren Seiten oder auf der Website eines Partners ausfüllt. Wir halten uns an eine strenge Werbepolitik und stellen sicher, dass kommerzielle Möglichkeiten niemals unsere redaktionelle Unabhängigkeit beeinträchtigen oder beeinflussen. Die erzielten Einnahmen tragen zur Finanzierung der Mission von Techopedia bei, die Nr. 1 Quelle für Glücksspielwissen zu sein.
Das Verbergen von bösartigem Code in Bilddateien ist keine neue Methode.
So können Files von Cyberkriminellen zum Verstecken von Skripten und Code in E-Mail-Anhängen, PDFs, Excel-Dateien, PNGs, JPGs und sogar im Text einer E-Mail verändert werden.
Black Hat Hacker werden jedoch immer fortschrittlicher, passen ihre Angriffe an und betten noch gefährlichere Tools in Bilder ein.
Keylogger, 0bj3ctivityStealer und Lumma Stealer gehören zu den drei gängigsten Scamming-Tools überhaupt, wobei der in Images enthaltene Schadcode schnell zu einem Verbreitungsweg für diese Tools wird.
Mit Unterstützung des HP Wolf Security Threat Insights Report geht Techopedia auf die technischen Schritte von Black Hat Hackern bei der Entwicklung schädlicher Bilddateien und die damit verbundenen Risiken ein.
Ein Bild sagt zwar mehr als tausend Worte, aber in den Pixeln können sich Probleme verbergen.
Wichtigste Erkenntnisse
- Zunehmend nutzen Cyberkriminelle Bilder mit verstecktem Schadcode, um die Erkennung zu umgehen und Malware zu verbreiten, indem sie Tools wie Steganografie und benutzerdefinierte Skripte einsetzen.
- Dieser Trend wird durch Techniken wie das Einbetten von bösartigem Code in die Metadaten eines Bildes oder das Verändern von Pixel-Bits mit LSB-Tools (Least Significant Bits) gefördert, die leicht zugänglich und benutzerfreundlich sind.
- Der Bericht von HP Wolf Security zeigt die Verwendung bösartiger Bilderdateien in Phishing-Kampagnen, GitHub-Repositories und legitimen Websites wie dem Internet Archive.
- Versteckter Code kann durch den Einsatz von Spyware, Stealern und Malware schwerwiegende Verstöße verursachen und die Sicherheit von Personen, Unternehmen und Behörden beeinträchtigen.
So verstecken Hacker bösartigen Code in Bilddateien
Aber wie genau verstecken Black Hat Hacker Code in Bildern?
Die Reihenfolge und die Details der einzelnen Schritte variieren leicht, je nachdem, welche Bedrohungskampagne gerade entwickelt wird.
Die meisten Angreifer gehen jedoch nach folgendem Muster vor:
1. Auswahl des richtigen Bildes
Ein wichtiger Schritt für Black Hat Hacker ist die Auswahl des richtigen Bildes für die Aufgabe.
Es muss nicht nur harmlos aussehen (z. B. eine JPEG- oder PNG-Datei), sondern auch auf die Art des Cyberangriffs zugeschnitten sein, den die Bedrohungsakteure im Sinn haben.
Sieht eine Bedrohungskampagne beispielsweise den Versand von Phishing-E-Mails vor, so entsprechen die ausgewählten Bilder denen, die normalerweise per E-Mail verschickt werden.
Wenn die Angreifer hingegen eine Phishing-Website erstellen, könnte das Bild eine Kopfzeile oder ein herunterladbares Objekt sein.
Es gibt jedoch keine allgemeine Regel, und Black Hats werden kreativ.
Wie in der Abbildung unten gezeigt, fand HP Wolf Security beispielsweise einen in einem Bild versteckten PowerShell-Code, der den Download eines anderen Bildes mit Malware auslöste, das im Internet Archive gehostet wurde (siehe die erste Zeile des Codes unten).
Dieses Beispiel veranschaulicht die vielen Möglichkeiten und Kombinationen, die Hacker bei der Anwendung dieser Technik haben.
Die Zahl der bösartigen Bilddateien, die auf legitimen Websites wie The Internet Archive und GitHub gehostet werden, steigt.
Techopedia hat bereits untersucht, wie Cyberkriminelle das Internet Archive ins Visier genommen haben und wie Hacker gefälschte GitHub-Repositories zum Hosten ihrer Programme verwenden.
2. Das richtige Steganografie-Tool
Steganografie-Tools sind einfache und leichtgewichtige Softwareanwendungen, mit denen Benutzer versteckte Daten in Dateien wie Bilder, Audio oder Text einbetten können.
Mit ihnen lassen sich Daten effektiv verbergen, ohne Verdacht zu erregen.
Mit speziellen Steganografie-Tools betten Hacker bösartigen Code in das Bild ein. Mit diesen Tools können Daten in der Pixelstruktur des Fotos versteckt werden, ohne das Erscheinungsbild sichtbar zu verändern.
Auf GitHub oder anderen Entwicklungsplattformen stehen Hackern Open-Source-Steganografie-Tools zur Verfügung.
Ein geschickter Hacker kann sein Tool auch von Grund auf mit C++, Java, anderen Programmiersprachen oder sogar künstlicher Intelligenz schreiben.
3. Encoding-Techniken: Metadaten vs. Least Significant Bits
Um Informationen in Bilddateien zu verstecken, können Hacker verschiedene Techniken anwenden.
Schadcode kann in den Metadaten der Bilddatei oder mit einer anderen Methode, den Least Significant Bits (LSB), versteckt werden. Dies sind die beiden beliebtesten Möglichkeiten, wobei LSB die anspruchsvollere ist.
LSB-Tools verändern die Bits der weniger wichtigen Pixel eines Bildes. Da lediglich die niedrigstwertigen Bits modifiziert werden, bleibt der integrierte Code vollständig verborgen, und das Bild erscheint dem Opfer unverfälscht.
Bei beiden Techniken bemühen sich Black Hats darum, dass das Bild böswillig funktioniert, aber optisch mit seiner ursprünglichen Form identisch ist.
4. Verbindung zwischen dem Bild und der Infrastruktur der Angreifer
Das Ziel der Cyberkriminellen ist natürlich die Installation von Stealern und Spyware in PC-Umgebungen.
Zu der in diesen Kampagnen identifizierten Malware gehören VPN Keylogger, 0bj3ctivityStealer und Lumma Stealer.
Die Malware ist jedoch nicht vollständig in die Images integriert: Stattdessen fungieren die Bilder in der Regel als erste Stufe einer Attacke, indem sie die Malware entpacken und ausführen.
Die Bilder können auch so codiert sein, dass sie den Download weiterer Malware-Ressourcen erzwingen oder bösartige Skripte ausführen.
Diese modifizierten Bilder können Nutzer auf Phishing-Websites umleiten und gefälschte Benachrichtigungen auslösen.
In einer bemerkenswerten Kampagne, die im HP Wolf Security-Bericht identifiziert wurde, ist ein Bild so codiert, dass es eine bekannte Schwachstelle ausnutzt – den Microsoft Office Equation Editor CVE2017-11882, bei dem Microsoft Office Objekte im Speicher nicht ordnungsgemäß behandeln kann, was Angreifern die Ausführung beliebiger Skripte ermöglicht.
Black Hat Hacker testen die kodierten Bilder, um sicherzustellen, dass sie sich wie erwartet verhalten, legitim aussehen und effizient mit der Infrastruktur der Angreifer verbunden werden.
Techopedia führte einen Scan auf VirusTotal nach einer der vielen gefälschten Websites durch, die in dem HP Wolf Security-Bericht erkannt wurden, und fand heraus, dass nur 20 von 92 Sicherheitsanbietern die Website als Hoster des gefährlichen Lumma Stealer kennzeichneten.
5. Verbreitung von Schadbildern
Die Ergebnisse von HP Wolf Security decken sich mit den Trends, die Techopedia in den letzten Monaten beobachtet hat.
Dazu gehören das Hosten von Malware auf legitimen Websites wie GitHub-Repositories, Phishing-E-Mails oder Social-Media-Kampagnen und gefälschte Download-Websites, die die führenden Techniken zur Verbreitung von Malware darstellen.
Wie in der Abbildung unten zu sehen ist, hat ein Black Hat Hacker ein bösartiges GitHub-Repository entwickelt, das sich zur Verbreitung von Lumma Stealer als Spoofer-Software ausgibt.
Spoofer-Software ist bei Gamern sehr beliebt. Sie wird zur Verschleierung von Seriennummern und physischen Adressen verwendet, um Sicherheitskontrollen zu umgehen.
Auch gefälschte Software-Downloads und Software-Cracks sind typische Lockmittel.
Welche Arten von Tools verwenden Black Hat Hacker zum Verstecken von Code in Bildern?
Dem HP Wolf Security Threat Insights Report zufolge ist es unwahrscheinlich, dass die Angreifer Tools wie Pillow (eine Python-Bibliothek, mit der sich Bilder verarbeiten lassen) oder pyexiv2 ausdrücklich für ihre Kampagne verwendet haben.
Diese Bibliotheken sind in der Ethical-Hacking-Community weit verbreitet, aber nicht für bösartige Aktivitäten optimiert.
Ausgehend von den im Bericht genannten Techniken wurden bei der Kampagne eher die folgenden Instrumente eingesetzt:
- Steghide: ein bekanntes Tool zum Einbetten von versteckten Daten in Bilddateien.
- OpenStego: ein weiteres beliebtes Open-Source-Steganografie-Tool, mit dem Daten in Bildern oder anderen Dateitypen versteckt werden können.
- Benutzerdefinierte Skripte: Angreifer erstellen oft ihre eigenen Steganografie-Skripte in Python, C++ oder anderen Sprachen.
- Hacker können außerdem generative KI zur Entwicklung von Schadcode in HTML- Smuggling verwenden.
Wie die Abbildung unten zeigt, hat OPSWAT im April 2024 versteckten Code in einem Bild identifiziert, das bei einem HTML-Smuggling-Angriff verwendet wurde.
HTML-Smuggling und versteckter Code in Bilddateien werden zwar nicht als die gleiche Methode betrachtet, aber beide Techniken haben gemeinsame Grundlagen, Vorgehensweisen und Ziele.
Wie gefährlich können Schadbilder sein?
Wenn ein Opfer ein infiziertes Bild downloadet und damit interagiert, diese Dateien herunterlädt, öffnet oder ausführt, löst der versteckte Code automatisch einen Dominoeffekt aus, der im Erfolgsfall in einem Einbruch in Ihre digitale Umgebung gipfelt.
Sobald ein Stealer auf einem Gerät installiert ist, zielt er auf Systeminformationen, Browser-Cookies, Token, Anmeldedaten und Kennwörter ab. Oft versucht er auch, auf Ihre e-Wallets sowie Finanz- und Bankkonten zuzugreifen.
Ist das Bild hingegen so codiert, dass es Spyware lädt, stellt das manipulierte Gerät eine Verbindung zu einem vom Angreifer kontrollierten C2-Server her, an den es die Informationen sendet, auf die der Hacker zugreifen möchte.
Dazu gehören u. a. Bildschirmabzüge und -aufnahmen, Live- oder aufgezeichnete Audiodateien, Telefonanrufe, Live-Videos, Besprechungen, sensible Daten, Ordner und Dateien, Aufzeichnungen von Tastatureingaben und vieles mehr.
Darüber hinaus sind Stealer und Spyware-Malware inzwischen sehr gut darin, sich der Entdeckung zu entziehen.
Das bedeutet, dass die Opfer möglicherweise erst merken, dass mit ihrem Computer etwas nicht stimmt, wenn es zu spät ist und der Schaden bereits entstanden ist.
Fazit
In Bildern versteckter bösartiger Code sollte als äußerst gefährlich angesehen werden, da er in Systeme eindringen und Privatpersonen, Unternehmen, Regierungen und Organisationen schädigen kann.
Die Verwendung von Bildern zur Verschleierung von Schadcode ist ein Trend, der Aufmerksamkeit verdient. Diese Methode ist unauffällig, effektiv und erhöht die Erfolgsquote von Angriffen.
Diese Technik wird in der Regel als Auslöser für die Verbindung eines Geräts mit der Infrastruktur des Angreifers oder zum Laden von Malware verwendet und ist auf dem Vormarsch, da die Tools weit verbreitet und zugänglich sind und so angepasst werden können, dass sie ganz bestimmte Schwachstellen ausnutzen.
Von Phishing-E-Mails über gefälschte Websites bis hin zu bösartigen Repositories – es ist zu erwarten, dass Black Hat Hacker auch weiterhin Cyberangriffe mit Schadbildern entwickeln und durchführen werden.
FAQ
Sind Schadcode enthaltende Bilder ein Zero-Click-Angriff?
Warum verstecken Hacker Malware in Bildern?
Wie viele Daten können in einem Bild versteckt werden?
Quellenangaben
- Threat Insights Report January 2025
- Security Update Guide – Microsoft Security Response Center
- GitHub – python-pillow/Pillow: Python Imaging Library (Fork)
- GitHub – LeoHsiao1/pyexiv2: Read and write image metadata, including EXIF, IPTC, XMP, ICC Profile
- How Base64 Encoding Opens the Door for Malware
