Stegano è il nuovo kit del web per distribuire malware
Lorenzo Cagnazzo
Pubblicato il 13 Dicembre 2016
La steganografia è una tecnica utilizzata anche nel passato, per nascondere messaggi che non dovevano essere intercettati dal nemico. Solo il mittente conosceva il “codice” per decifrare la comunicazione.
Nel mondo attuale invece, la steganografia digitale si comporta in diversi modi, come ad esempio nell’utilizzo di vari scopi, compreso la distribuzione di malware. Gli esperti di ESET hanno scoperto che la tecnica viene sfruttata dal kit Stegano per nascondere codice infetto all’interno di un’immagine GIF.
Il kit stegano all’azione nel web
Il kit Stegano ha raggiunto una maggiore complessità nel mondo del web, in quanto riesce a visualizzare banner pubblicitari infetti anche nelle pagine di siti visitati da milioni di persone al giorno. Gli utenti non noteranno nulla di anomalo, ma l’immagine GIF dell’inserzione contiene uno script codificato nel canale alpha, quindi non visibile ad occhio nudo. Sfruttando una vulnerabilità di Internet Explorer, il codice esamina prima il sistema operativo per identificare la presenza di macchine virtuali e, se il test è negativo, effettua un redirect al sito del kit Stegano.
Arrivati a questo punto viene caricato un file Flash che sfrutta tre vulnerabilità del plugin Adobe e viene eseguito il payload sul computer della vittima. I cybercriminali possono così installare ogni tipo di malware, come ad esempio i trojan, backdoor, spyware, keylogger e tanti altri, che consentono di effettuare screenshot, rubare password, eseguire file da remoto e raccogliere qualsiasi informazione sensibile.
Vulnerabilità del Plugin Adobe
ESET suggerisce di utilizzare un software di sicurezza aggiornato e di installare tutte le patch del sistema operativo. Considerato che Stegano sfrutta le vulnerabilità di Internet Explorer e Flash, la soluzione migliore è usare un altro browser e disattivare il plugin di Adobe.
Malware “Duqu” nei SO Windows
Malware Duqu
Nel 2011, i ricercatori del Laboratorio di Crittografia e Sicurezza dei Sistemi di Budapest, hanno scoperto un’insolita forma di software malevolo. Questo malware si insinua nelle macchine con il sistema operativo Microsoft Windows, raccogliendo informazioni sui sistemi di controllo industriale e quindi le invia tramite Internet al suo centro di controllo. Dopo 36 giorni, il malware si rimuove automaticamente, rendendo particolarmente difficile la sua individuazione. Questo malware è stato denominato Duqu perché crea file utilizzando il prefisso DQ.
Successivamente i ricercatori hanno notato una straordinaria somiglianza del Duqu con il malware Stuxnet, sviluppato presumibilmente da team statunitensi e israeliani per attaccare le capacità nucleari dell’Iran. Un team di ricercatori ha detto che era pressoché identico allo Stuxnet ma con lo scopo inverso di raccogliere informazioni piuttosto che attaccare.
Duqu ritrasmette le informazioni al suo centro di controllo, ed il malware cripta le proprie informazioni e le incorpora in un file JPEG per farlo sembrare una semplice e innocua figura, una tecnica conosciuta come steganografia. Laddove la crittografia protegge l’informazione, la steganografia nasconde in primo luogo l’esistenza di un messaggio.
