Steganografia usata per distribuire malware

La steganografia è una tecnica utilizzata fin dall’antica Grecia per nascondere messaggi che non dovevano essere intercettati dal nemico. Solo il mittente conosceva la “chiave” per decifrare la comunicazione. Oggi la steganografia digitale viene utilizzata per vari scopi, compreso la distribuzione di malware. Gli esperti di ESET hanno scoperto che la tecnica viene sfruttata dal kit Stegano per nascondere codice infetto all’interno di un’immagine GIF.

Alcune procedure sono simili a quelle di kit più famosi, come Neutrino e Angler, ma Stegano ha raggiunto una maggiore complessità, in quanto riesce a visualizzare banner pubblicitari infetti anche nelle pagine di siti visitati da milioni di persone al giorno. Gli utenti non noteranno nulla di anomalo, ma l’immagine GIF dell’inserzione contiene uno script codificato nel canale alpha, quindi non visibile ad occhio nudo. Sfruttando una vulnerabilità di Internet Explorer, il codice esamina prima il sistema operativo per identificare la presenza di macchine virtuali (usate dai ricercatori di sicurezza) e, se il test è negativo, effettua un redirect al sito del kit Stegano.

A questo punto viene caricato un file Flash che sfrutta tre vulnerabilità del plugin Adobe e viene eseguito il payload sul computer della vittima. I cybercriminali possono così installare ogni tipo di malware (trojan, backdoor, spyware, keylogger e altri) che consentono di effettuare screenshot, rubare password, eseguire file da remoto e raccogliere qualsiasi informazione sensibile. Tra i paesi colpiti da un recente attacco c’è anche l’Italia.

ESET suggerisce di utilizzare un software di sicurezza aggiornato e di installare tutte le patch del sistema operativo. Considerato che Stegano sfrutta le vulnerabilità di Internet Explorer e Flash, la soluzione migliore è usare un altro browser e disattivare il plugin di Adobe.