Gli Hacker Nascondono Malware in Immagini Provenienti da Siti Web Affidabili

Un nuovo rapporto di HP Wolf Security evidenzia preoccupanti progressi nelle tattiche di diffusione del malware, compreso l’incorporamento di codici maligni all’interno di immagini apparentemente innocue ospitate su piattaforme legittime.

Uno dei risultati più significativi riguarda le campagne di malware che hanno incorporato codici dannosi nei file di immagini. Queste immagini sono state caricate su archive.org, un sito web di condivisione file di fiducia, per evitare sospetti. Facendo ciò, gli hacker sono riusciti a eludere le comuni misure di sicurezza, come i filtri di rete, che spesso si basano sulla reputazione di un sito web.

Due tipi di malware sono stati diffusi utilizzando questa tattica: VIP Keylogger e 0bj3ctivityStealer. Entrambi sono progettati per rubare informazioni sensibili come password e dettagli delle carte di credito.

I hacker hanno inviato email che si fingevano fatture o ordini di acquisto per ingannare le aziende a scaricare allegati malevoli. Questi allegati contenevano file che, una volta aperti, innescavano una reazione a catena.

Il processo includeva il download di un file immagine apparentemente innocuo da archive.org. Nascosto all’interno dell’immagine c’era un malware codificato, che si sarebbe poi installato sul computer della vittima.

Un’immagine collegata a questa campagna è stata visualizzata quasi 29.000 volte, lasciando intuire la vastità dell’attacco.

Una volta scaricata l’immagine, un frammento di codice estrae e decodifica il malware nascosto al suo interno. Il malware viene quindi eseguito sul dispositivo della vittima, registrando i tasti premuti, rubando le password e persino acquisendo screenshot. Per rendere l’attacco persistente, il malware modifica il registro del computer, assicurandosi che si avvii ogni volta che il computer viene acceso.

Il rapporto afferma che questo metodo di nascondere il codice maligno nelle immagini è particolarmente efficace perché sfrutta piattaforme legittime, rendendo più difficile per gli strumenti di sicurezza tradizionali rilevarlo.

I ricercatori aggiungono che questi incidenti evidenziano l’efficienza del riutilizzo dei kit di malware e dei componenti, in quanto entrambe le campagne hanno utilizzato lo stesso caricatore .NET per installare i rispettivi payload. Questo approccio modulare non solo ha semplificato il processo di sviluppo per gli attori della minaccia, ma ha anche permesso loro di concentrarsi sul perfezionamento delle tecniche per evitare il rilevamento.

L’incorporazione di codice maligno nelle immagini non è una tattica nuova, ma rappresenta una rinascita della sua popolarità a causa dei progressi nei metodi di offuscamento e consegna. Il rapporto sottolinea la necessità di una migliore protezione degli endpoint e di una formazione sulla consapevolezza dei dipendenti per contrastare tali minacce sofisticate.

Mentre i cybercriminali continuano ad innovare, sfruttando strumenti e piattaforme legittime, il rapporto serve come un severo promemoria del panorama in continua evoluzione delle minacce informatiche. I team di sicurezza devono rimanere vigili, adottare misure proattive e rimanere informati per mitigare i rischi posti da queste minacce emergenti.