Stegano, il malware nascosto nelle immagini

Sembra un innocuo banner pubblicitario, ma nasconde un malware che infetta i PC con trojan e backdoor.



[ZEUS News - www.zeusnews.it - 12-12-2016]

Si nasconde all'interno delle immagini mostrate da banner pubblicitari apparentemente innocui la più recente minaccia scoperta dai ricercatori di Eset, e che mette in pericolo tutti coloro che navigano in Rete con Windows e Internet Explorer.

Si tratta di una campagna di diffusione malware attiva sin dal 2014 e battezzata Stegano in riferimento alle tecniche di steganografia che essa usa per raggiungere le vittime.

I banner incriminati riguardano le applicazioni Browser Defence e Broxu e sono stati spesso visti apparire su molti dei più frequentati siti di notizie.

Alla prima apparizione del banner, uno script invia le informazioni sul computer della vittima a un server remoto, il quale può rispondere con un'immagine "pulita" oppure, se il bersaglio è un computer con Windows e Internet Explorer, con un'immagine malevola, che differisce dalla prima in maniera quasi impercettibile (una minuscola variazione nella tonalità dei colori).

La causa della differenza sta nel canale alfa dell'immagine, quello che normalmente contiene soltanto le informazioni relative alla trasparenza dei pixel.

Nell'immagine modificata, nel canale alfa si nasconde uno script che sfrutta la vulnerabilità di Internet Explorer CVE-2016-0162 per capire se la macchina presa di mira stia funzionando o meno in un ambiente controllato (come potrebbe essere una macchina virtuale in esecuzione sul computer di un analista di malware).

Se la risposta è negativa, il browser viene rediretto a una pagina che contiene il codice dell'exploit Stegano, un file Flash che sfrutta tre distinte vulnerabilità presenti nel software di Adobe.

Sondaggio
Ogni quanto tempo il tuo Pc è affetto da malware?
Una o due volte l'anno.
Tre o più volte l'anno.
E' successo una volta e mai più.
Mai.

Mostra i risultati (2501 voti)
Leggi i commenti (34)

Ottenuto l'accesso al PC grazie a una delle vulnerabilità di Flash, Stegano raccoglie informazioni sugli eventuali software di sicurezza in esecuzione e controlla nuovamente che il computer non si trovi in un ambiente controllato.

Se queste verifiche lo soddisfano, Stegano scarica dal proprio server remoto un'immagine Gif che contiene l'infezione vera e propria: le attività cui essa dà origine sono l'apertura di backdoor, l'installazione di trojan bancari e di altro tipo e la sottrazione di file.

broxu stegano
I due banner "incriminati"

Secondo i ricercatori di Eset, Stegano ha raggiunto un pubblico vastissimo proprio grazie al fatto che i suoi banner sono stati mostrati da siti che attirano ogni giorno milioni di visitatori, i quali si sono quindi resi inconsapevoli complici della diffusione del malware.

Allo stato attuale, la falla in Internet Explorer cui si appoggia Stegano è stata corretta, ma ciò non significa che l'allarme sia ormai passato e si possa tranquillamente ignorarlo.

L'esistenza di un attacco tanto elaborato e subdolo è infatti un campanello d'allarme: alla comparsa di una nuova vulnerabilità zero-day, una variante di Stegano potrebbe iniziare a colpire.

Per questo motivo tutti coloro i quali si occupano di sicurezza sottolineano con forza come sia necessario che i vari circuiti di distribuzione dei banner pubblicitari migliorino i sistemi di identificazione del malware: chi riesce a sfruttarli per diffondere il proprio codice malevolo ha immediatamente accesso a milioni di potenziali vittime.

stegano modus operandi

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Secretbook, come nascondere messaggi nelle immagini di Facebook
Messaggi nascosti nei silenzi di Skype
Nuove tecniche per steganografare dati sull'hard disk
Terrorismo, la paura delle ombre contagia gli analisti

Commenti all'articolo (3)

In ogni caso, se interpreto correttamente l'articolo, è necessario utilizzare Internet Explorer e Flash non aggiornati per essere infettati, questo equivale a cercarseli i guai IMHO. :roll:
17-12-2016 18:57

{mexico}
Tanti passaggi e tanti controlli, tante vulnerabilità di diversi software da sfruttare, e quindi tante possibilità di essere neutralizzato. E ciononostante è diffusissimo. E' probabile che i software antimalware non siano poi così sofisticati, come Eset stessa ha dimostrato poco tempo fa.
12-12-2016 10:40

Tanto di cappello a chi ha scritto stegano, tecnicamente ha 2 attribuit notevoli :o
11-12-2016 23:09

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Ogni quanto tempo il tuo Pc è affetto da malware?
Una o due volte l'anno.
Tre o più volte l'anno.
E' successo una volta e mai più.
Mai.

Mostra i risultati (2501 voti)
Ottobre 2019
Omessa custodia del cellulare, sanzionata l'insegnante del post anti-Arma
Smartphone e batteria, con la modalità scura si risparmia davvero
Il Galaxy S10 si sblocca con qualsiasi impronta
Windows 7 a fine vita, Microsoft importuna coi pop-up
Linux, seria falla nel comando sudo
Il sistema operativo per sopravvivere all'Apocalisse
Pegasus, la nuova interfaccia di Windows 10
Dal papà di Android uno smartphone radicalmente diverso
Otto mesi di carcere per chi rivelò gli stipendi d'oro sindacali
Windows, l'aggiornamento impedisce di stampare
Antibufala: la Tesla della polizia rimasta a secco durante un inseguimento
Esplode lo smartphone in carica, muore ragazzina
Settembre 2019
Windows, l'aggiornamento di ottobre mette il turbo al Pc
Tutta la verità sul caso del dominio Italia Viva
Ecco perché gli aggiornamenti Windows hanno così tanti bug
Tutti gli Arretrati


web metrics