Stegano, il malware nascosto nelle immagini

Sembra un innocuo banner pubblicitario, ma nasconde un malware che infetta i PC con trojan e backdoor.



[ZEUS News - www.zeusnews.it - 12-12-2016]

Si nasconde all'interno delle immagini mostrate da banner pubblicitari apparentemente innocui la più recente minaccia scoperta dai ricercatori di Eset, e che mette in pericolo tutti coloro che navigano in Rete con Windows e Internet Explorer.

Si tratta di una campagna di diffusione malware attiva sin dal 2014 e battezzata Stegano in riferimento alle tecniche di steganografia che essa usa per raggiungere le vittime.

I banner incriminati riguardano le applicazioni Browser Defence e Broxu e sono stati spesso visti apparire su molti dei più frequentati siti di notizie.

Alla prima apparizione del banner, uno script invia le informazioni sul computer della vittima a un server remoto, il quale può rispondere con un'immagine "pulita" oppure, se il bersaglio è un computer con Windows e Internet Explorer, con un'immagine malevola, che differisce dalla prima in maniera quasi impercettibile (una minuscola variazione nella tonalità dei colori).

La causa della differenza sta nel canale alfa dell'immagine, quello che normalmente contiene soltanto le informazioni relative alla trasparenza dei pixel.

Nell'immagine modificata, nel canale alfa si nasconde uno script che sfrutta la vulnerabilità di Internet Explorer CVE-2016-0162 per capire se la macchina presa di mira stia funzionando o meno in un ambiente controllato (come potrebbe essere una macchina virtuale in esecuzione sul computer di un analista di malware).

Se la risposta è negativa, il browser viene rediretto a una pagina che contiene il codice dell'exploit Stegano, un file Flash che sfrutta tre distinte vulnerabilità presenti nel software di Adobe.

Sondaggio
Ogni quanto tempo il tuo Pc è affetto da malware?
Una o due volte l'anno.
Tre o più volte l'anno.
E' successo una volta e mai più.
Mai.

Mostra i risultati (2879 voti)
Leggi i commenti (49)

Ottenuto l'accesso al PC grazie a una delle vulnerabilità di Flash, Stegano raccoglie informazioni sugli eventuali software di sicurezza in esecuzione e controlla nuovamente che il computer non si trovi in un ambiente controllato.

Se queste verifiche lo soddisfano, Stegano scarica dal proprio server remoto un'immagine Gif che contiene l'infezione vera e propria: le attività cui essa dà origine sono l'apertura di backdoor, l'installazione di trojan bancari e di altro tipo e la sottrazione di file.

broxu stegano
I due banner "incriminati"

Secondo i ricercatori di Eset, Stegano ha raggiunto un pubblico vastissimo proprio grazie al fatto che i suoi banner sono stati mostrati da siti che attirano ogni giorno milioni di visitatori, i quali si sono quindi resi inconsapevoli complici della diffusione del malware.

Allo stato attuale, la falla in Internet Explorer cui si appoggia Stegano è stata corretta, ma ciò non significa che l'allarme sia ormai passato e si possa tranquillamente ignorarlo.

L'esistenza di un attacco tanto elaborato e subdolo è infatti un campanello d'allarme: alla comparsa di una nuova vulnerabilità zero-day, una variante di Stegano potrebbe iniziare a colpire.

Per questo motivo tutti coloro i quali si occupano di sicurezza sottolineano con forza come sia necessario che i vari circuiti di distribuzione dei banner pubblicitari migliorino i sistemi di identificazione del malware: chi riesce a sfruttarli per diffondere il proprio codice malevolo ha immediatamente accesso a milioni di potenziali vittime.

stegano modus operandi

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (3)

In ogni caso, se interpreto correttamente l'articolo, è necessario utilizzare Internet Explorer e Flash non aggiornati per essere infettati, questo equivale a cercarseli i guai IMHO. :roll:
17-12-2016 18:57

{mexico}
Tanti passaggi e tanti controlli, tante vulnerabilità di diversi software da sfruttare, e quindi tante possibilità di essere neutralizzato. E ciononostante è diffusissimo. E' probabile che i software antimalware non siano poi così sofisticati, come Eset stessa ha dimostrato poco tempo fa.
12-12-2016 10:40

Tanto di cappello a chi ha scritto stegano, tecnicamente ha 2 attribuit notevoli :o
11-12-2016 23:09

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Cosa manca nel tuo notebook attuale e vorresti che fosse presente? Aggiungi eventualmente la risposta nei commenti.
Una maggiore risoluzione del display
L'uscita VGA
Un processore più veloce
Più memoria Flash
La possibilità di utilizzare una batteria più capace
La porta LAN
Almeno una porta USB supplementare o una USB 3.0
Più memoria RAM
Il touchscreen

Mostra i risultati (1977 voti)
Luglio 2025
Il frigorifero di Samsung che fa a meno del gas: sfrutta l'effetto Peltier
Il pericolo delle eSIM
SPID, l'addio è ufficiale: il governo punta su CIE e IT Wallet
Bollette gonfiate, le strategie illecite. Scandalo energetico in Italia
Eliza colpisce ancora
Fuga da Windows: in tre anni ha perso 400 milioni di utenti. Preferiti Android, Mac e Linux
Giugno 2025
Windows 10, aggiornamenti gratuiti per tutti. Ma ci sono requisiti da rispettare
Addio, vecchia carta d'identità: è obbligatorio passare alla CIE entro agosto 2026
16 miliardi di nomi utente e password finiscono online: coinvolti anche Facebook, Google e Apple
Tracciamento delle notifiche: ultima frontiera
Amazon stringe sui resi: la finestra scende da 30 a 14 giorni
Passare a Windows 11 è più semplice con Windows Migration. La fine di Windows 10 è già arrivata
WhatsApp, ecco perché stai ricevendo un messaggio che ti chiede di aggiungere l'indirizzo email
Richiamati oltre un milione di power bank: potrebbero surriscaldarsi fino a prendere fuoco
La Danimarca lascerà Windows e Microsoft Office, passando a Linux e LibreOffice
Tutti gli Arretrati
Accadde oggi - 11 luglio


web metrics