il malware nascosto nelle immagini

Pubblicato in Virus con tag malware Virus in da

Si nasconde all’interno delle immagini mostrate da banner pubblicitari apparentemente innocui la più recente minaccia scoperta dai ricercatori di Eset, e che mette in pericolo tutti coloro che navigano in Rete con Windows e Internet Explorer.

Si tratta di una campagna di diffusione malware attiva sin dal 2014 e battezzata Stegano in riferimento alle tecniche di steganografia che essa usa per raggiungere le vittime.

I banner incriminati riguardano le applicazioni Browser Defencee Broxu e sono stati spesso visti apparire su molti dei più frequentati siti di notizie.

Alla prima apparizione del banner, uno script invia le informazioni sul computer della vittima a un server remoto, il quale può risponde con un’immagine “pulita” oppure, se il bersaglio è un computer con Windows e Internet Explorer, con un’immagine malevola, che differisce dalla prima in maniera quasi impercettibile (una minuscola variazione nella tonalità dei colori).

La causa della differenza sta nel canale alfa dell’immagine, quello che normalmente contiene soltanto le informazioni relative alla trasparenza dei pixel.

Nell’immagine modificata, nel canale alfa si nasconde uno script che sfrutta la vulnerabilità di Internet Explorer CVE-2016-0162 per capire se la macchina presa di mira stia funzionando o meno in un ambiente controllato (come potrebbe essere una macchina virtuale in esecuzione sul computer di un analista di malware).

Se la risposta è negativa, il browser viene rediretto a una pagina che contiene il codice dell’exploit Stegano, un file Flash che sfrutta tre distinte vulnerabilità presenti nel software di Adobe.

 

Ottenuto l’accesso al PC grazie a una delle vulnerabilità di Flash, Stegano raccoglie informazioni sugli eventuali software di sicurezza in esecuzione e controlla nuovamente che il computer non si trovi in un ambiente controllato.

Se queste verifiche lo soddisfano, Stegano scarica dal proprio server remoto un’immagine Gif che contiene l’infezione vera e propria: le attività cui essa dà origine sono l’apertura di backdoor, l’installazione di trojan bancari e di altro tipo e la sottrazione di file.

Leggi l’articolo originale su ZEUS News – http://www.zeusnews.it/n.php?c=24847