Ignoti criminali hanno sfruttato una sofisticata tecnica di steganografia per nascondere il loro codice malevolo all’interno di innocenti file audio. Un’impresa che puzza di cyber-spionaggio russo, o forse no.
Gli analisti di Cylance (gruppo BlackBerry) hanno identificato un nuovo attacco informatico dai risvolti a dir poco inquietanti, un’iniziativa condotta da ignoti che raramente si è vista nel (recente) passato e che si basa sul camuffamento del codice malevolo all’interno di “contenitori” all’apparenza assolutamente normali.
Gli ignoti cyber-criminali autori dell’attacco scoperto dai ricercatori di Cylance hanno infatti usato la steganografia, una tecnica ben nota che permette di nascondere file e dati riservati all’interno di immagini e altri tipi di file esterni; diversamente dalle solite tecniche steganografiche, quella impiegata dai criminali permette di camuffare il codice malevolo all’interno di file audio in formato WAV.
Per ogni file WAV identificato dai ricercatori è stato trovato anche un “loader” corrispondente, componente esterno a cui era deputato il compito di decodificare e lanciare il codice eseguibile segretamente nascosto nei file audio di cui sopra. Se processati con un lettore multimediale, i file WAV venivano riprodotti come normale contenuto musicale (senza apparenti difetti o cali di qualità) o, nel peggiore dei casi, come rumore statico.
I loader e il codice nascosto erano pensati per infettare i dispositivi bersaglio con il miner di criptomoneta Monero XMRig, dicono i ricercatori, oppure per eseguire il codice Metasploit necessario ad aprire una reverse shell sul PC attaccato. In quest’ultimo caso, una volta preso il controllo del sistema bersaglio, i cyber-criminali avrebbero potuto condurre attacchi di cryptojacking oppure usare il sistema da remoto come terminale di comando&controllo.
La steganografia è una tecnologia oramai ben nota nella community della sicurezza – tanto per i “buoni” quanto per i “cattivi”. L’uso di file audio rappresenta però una novità ancora poco diffusa, e i file WAV identificati dai ricercatori di Cylance sono solo il secondo caso dopo quello svelato da Symantec a giugno e attribuito al cyber-spionaggio russo. Gli autori del nuovo attacco potrebbero essere gli stessi, suggeriscono gli esperti, ma potrebbe anche trattarsi di un gruppo totalmente autonomo che usa tecniche già di dominio pubblico.