← На главную

PoC Exif Smuggling: MalwareTech прячет DLL в Exif JPG, Chrome кеширует

09.06.2026 21:06 · hackernews

Исследователь из MalwareTech представил PoC новой техники — Exif Smuggling. Это эволюция Cache Smuggling: исполняемый payload (например, DLL) прячется в Exif-данных JPG-файла. Кеширование изображений браузером (в частности, Chrome) позволяет пассивно загружать этот payload без единого сетевого запроса.

Пример загрузчика chrome_poc.ps1 не обращается в интернет за второй стадией, а просто извлекает её из кеша Chrome. Атака использует то, что браузеры автоматически сохраняют кешированные картинки, и злоумышленник может подсунуть вредоносные данные в их метаданные.

К PoC прилагаются две утилиты. Первая — build_clickfix_cmd.py — конвертирует PowerShell-загрузчик в ClickFix-команду:
python3 build_clickfix_cmd.py --input-file chrome_poc.ps1 --output-file encoded_command.txt --fake-path "C:\test\doc.txt"
ClickFix — это техника, когда жертву заставляют выполнить команду под видом «исправления» ошибки.

Вторая утилита — exif_smuggling.py — встраивает payload-библиотеку в произвольный JPG:
python3 exif_smuggling.py --input-file image.jpg --output-file payload.jpg --payload hello_world.dll

Получается, что для доставки вредоноса не нужны direct сетевые вызовы — достаточно, чтобы браузер закешировал картинку с модифицированными Exif. Загрузчик потом просто читает данные из локального кеша Chrome. Это усложняет детект и обходит ограничения на исходящие запросы, например, в изолированных средах.

Исходный код, примеры и подробное описание опубликованы по ссылке на сайте MalwareTech.

Читать оригинал →