Cyber sicurezza, tra verità e falsi miti: la guida aggiornata

Il malware si nasconde nei file audio WAV con la steganografia

Ignoti criminali hanno sfruttato una sofisticata tecnica di steganografia per nascondere il loro codice malevolo all’interno di innocenti file audio. Un’impresa che puzza di cyber-spionaggio russo, o forse no.

Gli analisti di Cylance (gruppo BlackBerry) hanno identificato un nuovo attacco informatico dai risvolti a dir poco inquietanti, un’iniziativa condotta da ignoti che raramente si è vista nel (recente) passato e che si basa sul camuffamento del codice malevolo all’interno di “contenitori” all’apparenza assolutamente normali.

Gli ignoti cyber-criminali autori dell’attacco scoperto dai ricercatori di Cylance hanno infatti usato la steganografia, una tecnica ben nota che permette di nascondere file e dati riservati all’interno di immagini e altri tipi di file esterni; diversamente dalle solite tecniche steganografiche, quella impiegata dai criminali permette di camuffare il codice malevolo all’interno di file audio in formato WAV.

Audio, steganografia

Per ogni file WAV identificato dai ricercatori è stato trovato anche un “loader” corrispondente, componente esterno a cui era deputato il compito di decodificare e lanciare il codice eseguibile segretamente nascosto nei file audio di cui sopra. Se processati con un lettore multimediale, i file WAV venivano riprodotti come normale contenuto musicale (senza apparenti difetti o cali di qualità) o, nel peggiore dei casi, come rumore statico.

I loader e il codice nascosto erano pensati per infettare i dispositivi bersaglio con il miner di criptomoneta Monero XMRig, dicono i ricercatori, oppure per eseguire il codice Metasploit necessario ad aprire una reverse shell sul PC attaccato. In quest’ultimo caso, una volta preso il controllo del sistema bersaglio, i cyber-criminali avrebbero potuto condurre attacchi di cryptojacking oppure usare il sistema da remoto come terminale di comando&controllo.

La steganografia è una tecnologia oramai ben nota nella community della sicurezza – tanto per i “buoni” quanto per i “cattivi”. L’uso di file audio rappresenta però una novità ancora poco diffusa, e i file WAV identificati dai ricercatori di Cylance sono solo il secondo caso dopo quello svelato da Symantec a giugno e attribuito al cyber-spionaggio russo. Gli autori del nuovo attacco potrebbero essere gli stessi, suggeriscono gli esperti, ma potrebbe anche trattarsi di un gruppo totalmente autonomo che usa tecniche già di dominio pubblico.

PCProfessionale © riproduzione riservata.