ANY.RUN, una delle principali piattaforme interattive di analisi del malware, ha scoperto un nuovo e sofisticato attacco informatico che sfrutta immagini per diffondere malware.
La tecnica adottata, nota come steganografia, consente ai criminali di nascondere codice dannoso all’interno di file apparentemente innocui, rendendone difficile il rilevamento da parte dei tradizionali strumenti di sicurezza. Come è facile intuire, questa strategia di diffusione malware rappresenta una delle più grandi sfide per gli esperti di sicurezza informatica.
L’attacco scoperto di recente sembra iniziare con una comune e-mail di phishing che contiene un allegato o un link dannoso.
Se l’utente apre l’allegato, viene sfruttata una vulnerabilità in Microsoft Office (CVE-2017-11882) per scaricare il payload dannoso. Se l’utente fa clic sul collegamento, viene reindirizzato a un sito Web in cui viene richiesto di scaricare un archivio di file. Questo file di archivio contiene un file Visual Basic Script (VBS) con un nome file ingannevole.
Il nuovo attacco che sfrutta la steganografia preoccupa gli esperti di sicurezza
Quando l’utente apre l’archivio ed esegue il file VBS, scarica un file immagine da un server remoto. Questo file immagine non è quello che sembra: essa infatti, contiene codice dannoso nascosto incorporato al suo interno utilizzando la già citata steganografia.
Lo script VBS quindi estrae ed esegue questo codice nascosto, infettando il sistema dell’utente con diversi malware. In tal senso, gli esperti hanno individuato alcuni nomi tristemente famosi nell’ambiente come AgentTesla, AsyncRAT, NjRAT, Dtloader e Remcos. Questi payload possono eseguire varie azioni dannose, come rubare informazioni sensibili, ottenere il controllo del sistema infetto e scaricare ulteriori malware.
Sebbene ANY.RUN offra uno strumento in grado di individuare tecniche come la steganografia, il consiglio è quello di prevenire qualunque tipo di attacco simile.
Per evitare potenziali rischi, è bene dunque individuare in modo preventivo link e allegati sospetti. Rispetto al passato, inoltre, evitare gli eseguibili non è più sufficiente: anche PDF e, come appena illustrato, semplici immagini, possono nascondere enormi pericoli.