Ecco come gli hacker utilizzano la steganografia negli attacchi informatici
Tutti avete sentito il consiglio di non aprire mai gli allegati di posta elettronica a meno che non sappiate da dove provengono e non saremo sorpresi se alcuni di voi lo troveranno un po 'strano. Dopotutto, sai che per compromettere il tuo computer, devi eseguire un po 'di codice e sai che il codice viene eseguito da file eseguibili. Alla luce di ciò, potresti pensare che un modesto file JPG, ad esempio, non possa farti del male. Ti sbaglieresti.
Cos'è la steganografia?
Il termine steganografia deriva dalle parole greche per "nascondere" e "scrivere" e significa letteralmente nascondere informazioni in dati non segreti. Quando si tratta di sicurezza informatica, la steganografia si riferisce all'atto di incorporare codice dannoso in file apparentemente benigni.
Gli hacker possono incorporare malware in quasi tutti i tipi di file che desideri immaginare, inclusi immagini e video. Con ciò, non solo hanno maggiori probabilità di ingannare la vittima, ma sono anche in grado di eludere qualsiasi prodotto di sicurezza che potrebbe essere installato sul computer.
Non è una nuova tecnica. In effetti, nel 2017, gli esperti hanno coniato il termine "stegware" come collettivo di attacchi informatici che utilizzano codice dannoso incorporato in immagini e altri file multimediali, ma è sicuro di dire che per quanto intelligente e efficace sia, la steganografia non è qualcosa che gli hacker usare particolarmente spesso. Ciò è principalmente dovuto al fatto che nascondere il codice dannoso in file dall'aspetto benigno non è facile e richiede un livello di sofisticazione che la maggior parte dei criminali informatici semplicemente non possiede.
Steganografia negli attacchi del mondo reale
Detto questo, la steganografia non è solo una teoria. Nel corso degli anni, ci sono stati alcuni attacchi che hanno utilizzato la tecnica e l'ultimo è stato individuato il mese scorso da ricercatori di Kaspersky.
La campagna si rivolge alle imprese industriali nel Regno Unito, in Germania, in Giappone e in Italia e, alla fine, distribuisce uno strumento chiamato Mimikatz, che ruba le credenziali di accesso a Windows. Molto probabilmente, l'obiettivo è quello di utilizzare le informazioni rubate per spostarsi lateralmente all'interno della rete compromessa e causare più danni. Prima di poterlo fare, tuttavia, i truffatori devono contrabbandare Mimikatz sul sistema, e lo fanno usando la steganografia.
L'attacco inizia con un'e-mail accuratamente elaborata e un file Excel allegato. Gli esperti hanno sottolineato che i messaggi sono personalizzati per ciascun bersaglio, il che dimostra che gli aggressori non sono interessati a colpire persone o organizzazioni a caso.
Il file Excel aperto chiede alla vittima di fare clic sul pulsante "Abilita contenuto" e, se l'utente risponde, il foglio di calcolo dannoso esegue le istruzioni macro incorporate che, a loro volta, aprono una finestra nascosta di PowerShell e caricano uno script.
Il malware quindi scarica un file PNG dall'aspetto innocente da un sito Web di condivisione di immagini come Imgur o ImgBox. Non c'è nulla sull'immagine che potrebbe destare sospetti e, poiché è scaricato da una risorsa completamente legittima, è improbabile che scateni avvisi di sicurezza.
In realtà, tuttavia, il file immagine contiene un secondo script PowerShell codificato e crittografato Base64. Il malware estrae lo script dal file PNG, lo decodifica e decodifica e lo esegue in una seconda finestra di PowerShell. Il suo scopo è scaricare e installare lo stealer Mimikatz.
Non è ancora chiaro chi si cela dietro l'attacco descritto da Kaspersky, ma è ovvio che chiunque essi siano, sanno cosa stanno facendo. Possiamo solo sperare che pochi criminali informatici siano intelligenti e sofisticati come questi hacker.
