A nova campanha denominada “SteganoAmor”, conduzida pelo grupo TA558, utiliza a técnica de esteganografia para ocultar código malicioso dentro de imagens, visando sistemas em todo o mundo.

Esta técnica consiste em esconder dados dentro de arquivos aparentemente inofensivos, tornando-os indetectáveis tanto para os usuários quanto para produtos de segurança. Ativo desde 2018, o TA558 é conhecido por mirar organizações de hospitalidade e turismo, principalmente na América Latina.

No entanto, a campanha SteganoAmor afetou mais de 320 organizações em diversos setores e países, conforme identificado pela Positive Technologies. Os ataques começam com e-mails maliciosos que trazem anexos de documentos (arquivos Excel e Word) que exploram a vulnerabilidade do Editor de Equações do Microsoft Office, CVE-2017-11882, já corrigida em 2017.

Se uma versão antiga do Microsoft Office estiver instalada, o exploit baixará um script em Visual Basic (VBS) que, por sua vez, executa código para baixar uma imagem contendo um payload codificado em base-64.

O script contido na imagem baixa o payload final, que está escondido dentro de um arquivo de texto na forma de um executável codificado em base-64 reverso. Os payloads e scripts maliciosos frequentemente são armazenados em serviços de nuvem legítimos como o Google Drive para evitar detecção.