Stegano, il malware nascosto nelle immagini

Sembra un innocuo banner pubblicitario, ma nasconde un malware che infetta i PC con trojan e backdoor.



[ZEUS News - www.zeusnews.it - 12-12-2016]

Si nasconde all'interno delle immagini mostrate da banner pubblicitari apparentemente innocui la più recente minaccia scoperta dai ricercatori di Eset, e che mette in pericolo tutti coloro che navigano in Rete con Windows e Internet Explorer.

Si tratta di una campagna di diffusione malware attiva sin dal 2014 e battezzata Stegano in riferimento alle tecniche di steganografia che essa usa per raggiungere le vittime.

I banner incriminati riguardano le applicazioni Browser Defence e Broxu e sono stati spesso visti apparire su molti dei più frequentati siti di notizie.

Alla prima apparizione del banner, uno script invia le informazioni sul computer della vittima a un server remoto, il quale può rispondere con un'immagine "pulita" oppure, se il bersaglio è un computer con Windows e Internet Explorer, con un'immagine malevola, che differisce dalla prima in maniera quasi impercettibile (una minuscola variazione nella tonalità dei colori).

La causa della differenza sta nel canale alfa dell'immagine, quello che normalmente contiene soltanto le informazioni relative alla trasparenza dei pixel.

Nell'immagine modificata, nel canale alfa si nasconde uno script che sfrutta la vulnerabilità di Internet Explorer CVE-2016-0162 per capire se la macchina presa di mira stia funzionando o meno in un ambiente controllato (come potrebbe essere una macchina virtuale in esecuzione sul computer di un analista di malware).

Se la risposta è negativa, il browser viene rediretto a una pagina che contiene il codice dell'exploit Stegano, un file Flash che sfrutta tre distinte vulnerabilità presenti nel software di Adobe.

Sondaggio
Ogni quanto tempo il tuo Pc è affetto da malware?
Una o due volte l'anno.
Tre o più volte l'anno.
E' successo una volta e mai più.
Mai.

Mostra i risultati (2323 voti)
Leggi i commenti (34)

Ottenuto l'accesso al PC grazie a una delle vulnerabilità di Flash, Stegano raccoglie informazioni sugli eventuali software di sicurezza in esecuzione e controlla nuovamente che il computer non si trovi in un ambiente controllato.

Se queste verifiche lo soddisfano, Stegano scarica dal proprio server remoto un'immagine Gif che contiene l'infezione vera e propria: le attività cui essa dà origine sono l'apertura di backdoor, l'installazione di trojan bancari e di altro tipo e la sottrazione di file.

broxu stegano
I due banner "incriminati"

Secondo i ricercatori di Eset, Stegano ha raggiunto un pubblico vastissimo proprio grazie al fatto che i suoi banner sono stati mostrati da siti che attirano ogni giorno milioni di visitatori, i quali si sono quindi resi inconsapevoli complici della diffusione del malware.

Allo stato attuale, la falla in Internet Explorer cui si appoggia Stegano è stata corretta, ma ciò non significa che l'allarme sia ormai passato e si possa tranquillamente ignorarlo.

L'esistenza di un attacco tanto elaborato e subdolo è infatti un campanello d'allarme: alla comparsa di una nuova vulnerabilità zero-day, una variante di Stegano potrebbe iniziare a colpire.

Per questo motivo tutti coloro i quali si occupano di sicurezza sottolineano con forza come sia necessario che i vari circuiti di distribuzione dei banner pubblicitari migliorino i sistemi di identificazione del malware: chi riesce a sfruttarli per diffondere il proprio codice malevolo ha immediatamente accesso a milioni di potenziali vittime.

stegano modus operandi

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Secretbook, come nascondere messaggi nelle immagini di Facebook
Messaggi nascosti nei silenzi di Skype
Nuove tecniche per steganografare dati sull'hard disk
Terrorismo, la paura delle ombre contagia gli analisti

Commenti all'articolo (3)

In ogni caso, se interpreto correttamente l'articolo, è necessario utilizzare Internet Explorer e Flash non aggiornati per essere infettati, questo equivale a cercarseli i guai IMHO. :roll:
17-12-2016 18:57

{mexico}
Tanti passaggi e tanti controlli, tante vulnerabilità di diversi software da sfruttare, e quindi tante possibilità di essere neutralizzato. E ciononostante è diffusissimo. E' probabile che i software antimalware non siano poi così sofisticati, come Eset stessa ha dimostrato poco tempo fa.
12-12-2016 10:40

Tanto di cappello a chi ha scritto stegano, tecnicamente ha 2 attribuit notevoli :o
11-12-2016 23:09

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Utilizzi la funzione di salvataggio delle password nel browser?
Sì, è molto utile
Sì, ma ora non lo farò più perché non è sicuro.
Sì, ma solo per password di poco conto.
No, per sicurezza non ho mai memorizzato alcuna password nel browser.
No, perché? Le password si possono salvare?

Mostra i risultati (5530 voti)
Febbraio 2019
Chiavette USB per rilevare eventuali cyberattacchi
Microsoft chiede agli utenti di non usare Internet Explorer
Cassandra Crossing/ Colore viola addio
Microsoft: Non comprate Office 2019
Storia di un attacco informatico a una banca
Lasciate Facebook per un mese: vi farà bene
Windows Update irraggiungibile, ma torna a funzionare cambiando i DNS
Prosecco italiano sotto accusa: distrugge le colline da cui nasce
Gennaio 2019
Cassandra Crossing/ Truffati o indotti in errore?
La lavastoviglie compatta che lava i piatti in 10 minuti
Microsoft azzoppa Windows Media Player in Windows 7
Facebook vuole unificare Instagram, Messenger e WhatsApp
Windows Lite farà piazza pulita delle ''piastrelle'' nel menu Start
I dipendenti del social network sanno tutto. E se la ridono
Il sito Torrent distribuito e impossibile da censurare
Tutti gli Arretrati


web metrics