Компания Mandiant, занимающаяся аналитикой безопасности, недавно обнаружила цепочку атак, которая использовала кодировку Base 64 на веб-сайтах Ars Technica и видеохостинг Vimeo для доставки второго этапа трехэтапного вредоносного ПО.
Пользователь разместил фотографию пиццы на форуме Ars Technica с подписью «Мне нравится пицца». В изображении или тексте не было ничего неправильного. Однако фотография, размещенная на стороннем веб-сайте, содержала URL-адрес с Base 64. Base 64, преобразованная в ASCII, выглядит как случайные символы, но в данном случае она запутывала двоичные инструкции для загрузки и установки второго этапа пакета вредоносного ПО. В другом случае идентичная строка появилась в описании безобидного в остальном видео на Vimeo.
Mandiant заявила, что идентифицировала код как принадлежащий субъекту, который отслеживался с 2020 года. Код работает только на устройствах, которые уже содержат первую стадию вредоносного ПО. Первая стадия распространяется через зараженные флэш-накопители, настроенные для ссылки на файл, размещенный на GitHub и GitLab.
Второй этап, получивший название Emptyspace, представляет собой текстовый файл, который в браузерах и текстовых редакторах выглядит пустым. Однако при открытии его в шестнадцатеричном редакторе обнаруживается двоичный файл, который использует схему кодирования пробелов, табуляции и новых строк для создания исполняемого двоичного кода. Mandiant признает, что никогда раньше не сталкивались с таким методом.