Nascondersi in bella vista: come il malware può essere celato usando la steganografia nelle immagini per sfuggire al rilevamento.

In ambito cybersecurity, gli attaccanti evolvono costantemente e sviluppano nuovi modi per nascondere codice dannoso all’interno dei file. Uno di questi metodi è la steganografia, la pratica di nascondere informazioni segrete all’interno di un messaggio o file ordinario e non segreto. Nel contesto delle immagini digitali, la steganografia consiste nell’incorporare dati segreti all’interno dei pixel di un’immagine senza alterarne l’aspetto visivo.

Sebbene la steganografia possa essere utilizzata per scopi legittimi, come la protezione di informazioni sensibili, può anche essere impiegata dagli attaccanti per nascondere malware all’interno di file apparentemente innocui. Il malware nascosto nelle immagini tramite steganografia può eludere il rilevamento da parte dei tradizionali software antivirus, rendendolo uno strumento efficace per gli attaccanti.

Per nascondere malware all’interno di un’immagine usando tecniche di steganografia, gli attaccanti generalmente seguono questi passaggi:

1. Selezione di un file immagine: gli attaccanti scelgono tipicamente un formato immagine comune come JPEG, PNG o BMP come file vettore per il loro malware. Il file scelto deve essere sufficientemente capiente da contenere il payload del malware senza influire significativamente sulla dimensione del file o sull’aspetto visivo.
2. Creazione del payload malware: il payload malware è il codice o i dati che l’attaccante vuole nascondere all’interno dell’immagine. Il payload può essere qualsiasi tipo di malware, come un virus, un trojan o una backdoor.
3. Codifica del payload: il payload viene quindi codificato usando tecniche di steganografia per creare un nuovo file immagine. Il payload è incorporato nell’immagine modificando i bit meno significativi dei valori dei pixel. Poiché le modifiche sono minime e i valori cromatici complessivi dei pixel non sono significativamente alterati, l’occhio umano non può rilevare alcun cambiamento nell’immagine.
4. Distribuzione dell’immagine: l’attaccante distribuisce quindi il file immagine contenente il malware nascosto attraverso vari canali come email, social media o siti web malevoli. Una volta che il file immagine viene scaricato e aperto, il payload malware nascosto può essere eseguito, potenzialmente causando danni al sistema della vittima.

Rilevare la steganografia è difficile per gli strumenti anti-malware perché le modifiche apportate a un’immagine sono così piccole. Inoltre, gli attacchi di steganografia appaiono tipicamente come minacce zero-day, rendendo il rilevamento ancora più complesso.
Un esempio di malware che utilizza la steganografia è LokiBot, che ruba informazioni sensibili come nomi utente, password e portafogli di criptovalute. LokiBot si installa come file .jpg e .exe, con il file .jpg che sblocca i dati necessari per l’implementazione.
 

Nuova variante del malware LokiBot utilizza la steganografia per nascondere il proprio codice
LokiBot, una famiglia di malware nota inizialmente per il furto di informazioni e il keylogging, è stata aggiornata con nuove capacità per migliorare la sua capacità di eludere il rilevamento. Un’analisi recente di una nuova variante di LokiBot condotta da Trend Micro Research ha rivelato che il malware ora impiega la steganografia. Questa tecnica gli consente di nascondere il proprio codice all’interno di un file immagine. Il malware utilizza inoltre un meccanismo di persistenza aggiornato e email di spam contenenti allegati ISO malevoli per la distribuzione.

Ad esempio, Trend Micro ha scoperto la nuova variante di LokiBot quando un’azienda del Sud-est asiatico, abbonata al servizio Managed Detection and Response della società, ha ricevuto un’email contenente un allegato potenzialmente dannoso e ha lanciato un allarme. L’email conteneva un allegato presumibilmente proveniente da un’azienda dolciaria in India. Tuttavia, il nome del mittente e la firma dell’email non corrispondevano, e l’indirizzo IP dell’email era noto come malevolo.

Il malware viene installato come %Temp%[nomefile].exe, insieme a %temp%[nomefile].jpg, che contiene dati binari cript