SteganoAmor, la campagna malware che nasconde codice dannoso nelle immagini

Sfruttando la tecnica della steganografia, un gruppo di hacker ha nascosto codice dannoso all'interno di immagini, per consentire il download di vari tipi di malware sul sistema preso di mira
di Andrea Bai pubblicata il 16 Aprile 2024, alle 14:31 nel canale SicurezzaIl gruppo di hacker TA558 ha intrapreso una nuova campagna che si avvale della tecnica della steganografia per infiltrare sistemi informatici con diversi tipi di malware. Si tratta di una tecnica che consiste nell'occultare elementi dannosi all'interno di file apparentemente innocui, rendendoli così difficili da rilevare per gli utenti e per gli strumenti di sicurezza.
La campagna è stata battezzata "SteganoAmor" da Positive Technologies, la società di sicurezza che l'ha scoperta osservando già 320 attacchi in diversi Paesi del mondo e in vari settori. TA558 è un attore di minacce noto per prendere di mira organizzazioni del settore dell'ospitalità e del turismo in tutto il mondo, con un focus particolare sull'America Latina.

Una delle e-mail di phishing usate da TA558 per la campagna SteganoAmor - Fonte: Positive Technologies
Come spesso accade, il primo veicolo di infezione è una e-mail contenenti allegati di documenti (file Excel e Word) apparentemente inoffensivi, che sfruttano una vulnerabilità nota di Microsoft Office Equation Editor risalente al 2017, tracciata come CVE-2017-11882.
Per ridurre le possibilità che i messaggi vengano bloccati dai sistemi di filtrazione di provider servizi e client e-mail, gli aggressori utilizzano server SMTP compromessi, in modo da far sembrare che le e-mail provengano da domini legittimi.
Quando il file allegato alla mail viene aperto viene scaricato uno script Visual Basic nel caso in cui la versione di Office installata sia vulnerabile. Lo script ha il compito di recuperare un'immagine JPEG che contiene un payload codificato in base-64.
Il payload contenuto nell'immagine è un codice PowerShell che a sua volta scarica un altro payload presente in un file di testo, in forma di eseguibile con codifica base-64 invertita.
L'analisi di Positive Technologies ha però messo in luce che TA558 sfrutta diverse strategie di attacco, con l'obiettivo di diffondere una varietà di strumenti di minaccia con scopi e usi differenti, ma principalmente infostealer, keylogger, strumenti di accesso remoto e downloader per altre minacce.
Sempre con l'obiettivo di evitare i sistemi di filtrazione e gli strumenti antivirus, i payload finali e gli script sono archiviati in servizi cloud legittimi così da poter sfruttare la loro "buona reputazione". Allo stesso modo le informazioni sottratte dai malware sono inviate a server FTP legittimi ma compromessi e sfruttati per far parte dell'infrastruttura di comando e controllo.
Dal momento che la vulnerabilità su cui fa leva tutta la catena di attacco è nota da tempo e già risolta in versioni successive di Office, la difesa contro SteganoAmor è relativamente semplice, in quanto l'aggiornamento ad una versione più recente della suite di produttività di Microsoft consentirebbe di neutralizzare questo genere di attacchi: tuttavia il fatto che questa campagna abbia mietuto 320 vittime dimostra come l'uso di software datato e non aggiornato possa rappresentare ancora la normalità in diverse situazioni.
L'episodio tuttavia rappresenta uno dei tanti esempi dei modi in cui gli attori di minaccia possono prendere di mira i sistemi da compromettere, spesso facendo uso di elementi apparentemente innocui su cui anche l'utente smaliziato potrebbe cadere in fallo.
1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoAvevo paura si attivasse da solo il tutto.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".