Nuova campagna di infezione per ObliqueRAT: ora si nasconde nelle immagini di siti web compromessi

Nuova campagna di infezione per ObliqueRAT: ora si nasconde nelle immagini di siti web compromessi

Sfruttando la tecnica della steganografia gli hacker riescono ad occultare codice all'interno delle immagini in formato .bmp innescando il download di un payload dannoso

di pubblicata il , alle 14:41 nel canale Apple
 

ObliqueRAT è un trojan scoperto per la prima volta all'inizio del 2020 e per lo più utilizzato per attacchi contro organizzazioni della zona meridionale dell'Asia. Si tratta di uno strumento di accesso remoto (RAT è infatti l'acronimo di Remote Access Tool e identifica una categoria di malware il cui scopo è prendere controllo di sistemi a scopi per lo più di spionaggio) dalle funzionalità piuttosto comuni per un Trojan il cui obiettivo è il furto di informazioni. ObliqueRAT è capace di trafugare file, connettersi a serverd command and control e terminare i processi in esecuzione sulla macchina remota.

Da allora però, e come spesso accade quando si tratta di minacce informatiche, ObliqueRAT è andato incontro a qualche evoluzione con l'ampliamento delle sue capacità e, soprattutto, un più ampio arsenale di vettori di infezione iniziale. Cisco Talos, il team di sicurezza del noto brand di soluzioni di rete, ha rilevato una nuova campagna di infezione di ObliqueRAT, concentrata sempre sulla stessa zona dell'Asia, ma che vede una nuova modalità di distribuzione e diffusione.

In precedenza ObliqueRAT sfruttava, come vettore di infezione, documenti Office compromessi e contenenti macro dannose, inviati tramite email di phishing. Una volta aperto il file, l'esecuzione della macro innescava il recupero diretto del trojan. I ricercatori Talos hanno notato una variante importante: i documenti che ancora vengono inviati tramite email di phishing non innescano il download diretto ma puntano verso siti web compromessi. Questa tecnica consente di aggirare alcuni controlli di sicurezza che diverse suite antimalware praticano sui contenuti dei messaggi di posta elettronica.

E qui i ricercatori Talos hanno scoperto una nuova tecnica, per certi versi affascinante (o almeno è amaramente affascinante osservare come gli hacker cerchino di sfruttare ingegnosamente ogni opportunità possibile per ottimizzare i propri sforzi): all'interno di questi siti web si trovano immagini in formato .bmp che contengono payload di ObliqueRAT. Si tratta di immagini che contengono dati validi di immagine, ma che sono compromesse utilizzando la tecnica della steganografia per nascondere codice eseguibile all'interno di altri contenuti di formati di file. Nel caso specifico i byte eseguibili sono sapientemente occultati nei dati RGB dell'immagine che, una volta visualizzata, innesca il download di un file .zip contenente ObliqueRAT, che viene estratto dalla macro contenuta nel documento compromesso infettando così il sistema.

Le nuove tecniche di infezione utilizzate in questa campagna non sono mai state riscontrate precedentemente per ObiqueRAT e dimostrano come una adeguata strategia di sicurezza sia composta da vari tasselli complementari che permettano di ridurre il rischio complessivo di infezione.

Talos ha scoperto quattro nuove versioni del malware sviluppate nei mesi tra aprile e novembre dello scorso anno. Tra le nuove funzionalità aggiunte al trojan si segnalano in particolare il controllo degli endpoint e la possibilità di estrarre file dalla memoria di sistema. I ricercatori hanno individuato poi ulteriori indizi che lasciano intendere la distribuzione di ulteriori aggiornamenti in futuro.

4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
zbear03 Marzo 2021, 16:08 #1
"Nel caso specifico i byte eseguibili sono sapientemente occultati nei dati RGB dell'immagine che, una volta visualizzata, innesca il download di un file .zip " e come diavolo farebbe? Che io sappia, a meno di un bug in uno SPECIFICO software, tutto ciò è impossibile ....
Univac03 Marzo 2021, 17:12 #2
Mi ha detto mio cuggino che da bambino una volta e' morto.
Mah... forse e' un qualche meccanismo a livello server, certo che "bmp" + "compresso" + "innesca il download" puzza molto di "vediamo chi si beve sta sparata".
D'altronde ormai gli utenti smartphone dominano, sai che bevute
les203 Marzo 2021, 18:43 #3

ma oddio...

una volta c'erano le famose jpg della morte, che era la stessa cosa.
la vulnerabilità sfruttata era a livello di so, o in seguito di client mail quando tutti usavano outlook. NUlla vieta che adesso qualche exploit abbia funzionamenti simili, magari non nel so pure ma nelle app, certo, ma basta che la falla sia in app famose (whatspp ad esempio) ed eccoci
nobucodanasr03 Marzo 2021, 18:53 #4
Non si può in qualche modo bloccare nel browser la lettura dei file bmp?
Tanto i formati che vanno per la maggiore nel web sono jpg, png e gif

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^