Stegano, il malware nascosto nelle immagini

Sembra un innocuo banner pubblicitario, ma nasconde un malware che infetta i PC con trojan e backdoor.

[ZEUS News - www.zeusnews.it - 12-12-2016]

Si nasconde all'interno delle immagini mostrate da banner pubblicitari apparentemente innocui la più recente minaccia scoperta dai ricercatori di Eset, e che mette in pericolo tutti coloro che navigano in Rete con Windows e Internet Explorer.

Si tratta di una campagna di diffusione malware attiva sin dal 2014 e battezzata Stegano in riferimento alle tecniche di steganografia che essa usa per raggiungere le vittime.

I banner incriminati riguardano le applicazioni Browser Defence e Broxu e sono stati spesso visti apparire su molti dei più frequentati siti di notizie.

Non perderti anche:

Intel, gli ultimi driver grafici raccolgono dati sugli utenti

Gli hacker adesso si affidano alla IA per creare malware

Secretbook, come nascondere messaggi nelle immagini di Facebook

Messaggi nascosti nei silenzi di Skype

Alla prima apparizione del banner, uno script invia le informazioni sul computer della vittima a un server remoto, il quale può rispondere con un'immagine "pulita" oppure, se il bersaglio è un computer con Windows e Internet Explorer, con un'immagine malevola, che differisce dalla prima in maniera quasi impercettibile (una minuscola variazione nella tonalità dei colori).

La causa della differenza sta nel canale alfa dell'immagine, quello che normalmente contiene soltanto le informazioni relative alla trasparenza dei pixel.

Nell'immagine modificata, nel canale alfa si nasconde uno script che sfrutta la vulnerabilità di Internet Explorer CVE-2016-0162 per capire se la macchina presa di mira stia funzionando o meno in un ambiente controllato (come potrebbe essere una macchina virtuale in esecuzione sul computer di un analista di malware).

Se la risposta è negativa, il browser viene rediretto a una pagina che contiene il codice dell'exploit Stegano, un file Flash che sfrutta tre distinte vulnerabilità presenti nel software di Adobe.

Sondaggio

Ogni quanto tempo il tuo Pc è affetto da malware?

Leggi i commenti (49)

Ottenuto l'accesso al PC grazie a una delle vulnerabilità di Flash, Stegano raccoglie informazioni sugli eventuali software di sicurezza in esecuzione e controlla nuovamente che il computer non si trovi in un ambiente controllato.

Se queste verifiche lo soddisfano, Stegano scarica dal proprio server remoto un'immagine Gif che contiene l'infezione vera e propria: le attività cui essa dà origine sono l'apertura di backdoor, l'installazione di trojan bancari e di altro tipo e la sottrazione di file.

I due banner "incriminati"

Secondo i ricercatori di Eset, Stegano ha raggiunto un pubblico vastissimo proprio grazie al fatto che i suoi banner sono stati mostrati da siti che attirano ogni giorno milioni di visitatori, i quali si sono quindi resi inconsapevoli complici della diffusione del malware.

Allo stato attuale, la falla in Internet Explorer cui si appoggia Stegano è stata corretta, ma ciò non significa che l'allarme sia ormai passato e si possa tranquillamente ignorarlo.

L'esistenza di un attacco tanto elaborato e subdolo è infatti un campanello d'allarme: alla comparsa di una nuova vulnerabilità zero-day, una variante di Stegano potrebbe iniziare a colpire.

Per questo motivo tutti coloro i quali si occupano di sicurezza sottolineano con forza come sia necessario che i vari circuiti di distribuzione dei banner pubblicitari migliorino i sistemi di identificazione del malware: chi riesce a sfruttarli per diffondere il proprio codice malevolo ha immediatamente accesso a milioni di potenziali vittime.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (3)

Gladiator

In ogni caso, se interpreto correttamente l'articolo, è necessario utilizzare Internet Explorer e Flash non aggiornati per essere infettati, questo equivale a cercarseli i guai IMHO. :roll:
17-12-2016 18:57

{mexico}

Tanti passaggi e tanti controlli, tante vulnerabilità di diversi software da sfruttare, e quindi tante possibilità di essere neutralizzato. E ciononostante è diffusissimo. E' probabile che i software antimalware non siano poi così sofisticati, come Eset stessa ha dimostrato poco tempo fa.
12-12-2016 10:40

Cesco67

Tanto di cappello a chi ha scritto stegano, tecnicamente ha 2 attribuit notevoli :o
11-12-2016 23:09

Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.


News(8 commenti) YouTube, il doppiaggio automatico dei video sincronizza il labiale. Anche in italiano	News(8 commenti) Milano Linate sospende il riconoscimento facciale FaceBoarding: dubbi sulla sicurezza

Sicurezza(6 commenti)

Poste Italiane, i dati di un milione di utenti nel dark web. L'azienda: "Non ci hanno attaccati"

(16 commenti)

Se l'antivirus vi avvisa di un pericolo, è il caso di fidarvi

News(10 commenti)

Hacker sabota le lavatrici smart del campus: gli studenti lavano gratis. Code interminabili

Flash(4 commenti)

Windows 11, lo speed test si integra nella barra: misura velocità di up/download e latenze

E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.

Sondaggio

''Chi sbarca in Italia va via per non morire, va via perché c'hanno una guerra, un maremoto... come fai a fermarli? Bisogna creare delle strutture intelligenti, inserirli piano piano a fare delle cose perché sono gente straordinaria. E' un processo di cui non se ne può fare a meno. Arrivano, arrivano a riprendersi un pochino di quello che gli abbiamo tolto in 200 anni''. Chi è?
(Vedi poi la soluzione)

	Uno che non considera prioritario lo Ius Soli per dare diritti di cittadinanza ai figli della "gente straordinaria" che arriva in Italia.
	Uno che non vuole abolire il reato di clandestinità per non portare il suo partito a percentuali da prefisso telefonico.
	Uno che ordina ai suoi parlamentari un voto contrario alla legge che ha abolito in Italia il reato penale di clandestinità.
	Uno che ha messo come requisito indispensabile per l'appartenenza al suo partito politico la cittadinanza italiana.
	Uno che da normale cittadino diceva pacatamente cose di buon senso ma una volta entrato nei meccanismi del potere è costretto a dire e fare minchiate per tenere insieme milioni di ignoranti e razzisti che toglierebbero il voto a proposte pacate e di buon senso.
	Tutti quelli nominati finora.