El analista de seguridad informática Denis Sinegubko, de la firma de seguridad Securi, ha publicado un informe donde revela una campaña de malware en la que se utiliza la Google User Content (CDN) para alojar archivos maliciosos, específicamente dentro de los campos de metadatos de imágenes alojadas en la red de distribución de contenidos.
El informe revela que por lo general, las imágenes que se alojan en este dominio pertenecen a los sitios web Blogger.com y la plataforma de Google+. Ahora bien, Sinegubko detectó que la campaña de malware tenía como objetivo el robo de tokens de seguridad del servicio de pagos PayPal, a través de una imagen alojada en googleusercontent.com, donde extrajeron y posteriormente ejecutaron el malware en el campo de metadatos.
Con respecto al malware, se trataba de una cadena codificada en Base64, que cuando era codificada varias veces, se convertía en una secuencia de comandos que podría cargar un ‘Shell’, o intérprete de comandos predefinido en el servidor afectado, junto con otros archivos. En concreto, este Shell podría ser utilizado por el hacker para obtener las direcciones de los sitios web comprometidos.
Sinegubko asegura en su informe que lo que le llamó la atención no fue que el malware estuviese oculto en los campos EXIF de la imagen, sino que la CDN Google User Content fuese utilizada para alojar dichas imágenes, porque ya los hackers han alojado malware en metadatos de imágenes previamente. Esta nueva técnica fue bastante complicada de descifrar para el analista, ya que Google no dispone de notificaciones sobre imágenes maliciosas, como sí ocurre con las imágenes que infringen los derechos de autor.
Según el experto, el código malicioso oculto en las imágenes cargadas en dichos sitios web de Google sobrevive al malware que se aloja en otros sitios web públicos, como el alojado en Twitter, Github o servicios similares. Asimismo, Sinegubko afirma que deben existir herramientas de seguridad que permitan escanear los archivos de imagen en busca de malware.