Allarme Malware: diffusi tramite immagini PNG per rubare criptovalute

Immagini PNG utilizzate per diffondere un malware potenzialmente letale per i wallet di criptovalute: ecco il temibile GreetingGhoul.

Un massiccio e inquietante attacco, portato avanti da un gruppo di hacker di lingua russa, utilizza un loader e immagini PNG per diffondere malware.

Questi, distribuiti nella maggior parte dei casi in ambiti aziendali, sono stati individuati prontamente dai ricercatori di Kaspersky. Il risultato della ricerca, apparsa in un blog su un post del noto produttore di antivirus, parla di aree come Europa, Stati Uniti e America Latina come le principali vittime della campagna.

I cybercriminali, durante la diffusione del malware, utilizzano DoubleFinger, ovvero un loader multistadio. L’agente malevolo vero e proprio, poi, si rivela essere GreetingGhoul, un malware studiato appositamente per rubare le credenziali dei wallet di criptovalute e non solo.

Gli stessi ricercatori Kaspersky hanno individuato commenti al codice interno dell’agente malevolo in russo. Ciò colloca gli autori come cittadini di qualche nazione dell’area post-sovietica.

Le immagini PNG contengono un codice molto pericoloso per i wallet di criptovalute

Gli attacchi DoubleFinger iniziano con un’e-mail di phishing. Se la vittima clicca sul file di informazioni sul programma dannoso associato (estensione .pif), innesca una reazione a catena che porta alcuni shellcode dannosi a scaricare un’immagine PNG già presente sul sito da imgur.com.

L’immagine, apparentemente anonima, utilizza la steganografia, nascondendo i dati dannosi. Lo shellcode cerca nel PNG una particolare stringa nel suo codice (0xea79a5c6) che contiene un payload crittografato.

GreetingGhoul agisce rivelando l’app relativa all’eventuale wallet delle criptovalute e ne ruba le credenziali. Il tutto avviene utilizzando MS WebView2, uno strumento utile per incorporare codice Web in app desktop e per svolgere altre attività potenzialmente illecite.

Questo caso dimostra, ancora una volta, come la rete sia un luogo molto pericoloso. Il consiglio è sempre e comunque quello di adottare un ottimo antivirus e di avere la massima prudenza quando si naviga online.

Fonte: darkreading.com

Ti consigliamo anche

Link copiato negli appunti