Nel panorama della sicurezza informatica, un recente sviluppo ha destato preoccupazione tra gli esperti. Il gruppo di hacker noto come ‘UAC-0184’, precedentemente osservato in azioni contro le Forze Armate dell’Ucraina, ha adottato una tecnica sofisticata che utilizza la steganografia nelle immagini per distribuire il trojan di accesso remoto (RAT) Remcos. Questa tattica è stata impiegata contro un’entità ucraina operante in Finlandia, allargando il raggio d’azione del gruppo a organizzazioni al di fuori dell’Ucraina.
La steganografia al Servizio del Cybercrime
La steganografia, sebbene ben documentata, è raramente osservata in azione. Consiste nell’incorporare codice malevolo nei dati dei pixel delle immagini per sfuggire alla rilevazione da parte dei sistemi di sicurezza basati su regole di firma. In questo specifico attacco, i ricercatori di Morphisec hanno notato una distorsione visibile nell’immagine utilizzata, sebbene questo non pregiudichi l’efficacia dell’attacco in assenza di un’ispezione manuale.
Il processo di infezione inizia con un’email di phishing accuratamente elaborata, che sembra provenire da entità militari ucraine o israeliane. L’apertura del file allegato innesca una catena di infezione che porta all’attivazione del loader modulare ‘IDAT’. Questo loader si distingue per la sua architettura modulare e l’uso di tecniche avanzate per evadere la rilevazione, come il caricamento dinamico delle funzioni API di Windows e test di connettività HTTP.
Il RAT Remcos e Altre Minacce
L’ultima fase del processo prevede la decrittazione ed esecuzione del RAT Remcos, che funge da backdoor sui sistemi compromessi, consentendo il furto discreto di dati e il monitoraggio delle attività delle vittime. Oltre a Remcos, IDAT è stato osservato nel veicolare altre famiglie di malware come Danabot, SystemBC e RedLine Stealer, sebbene non sia chiaro se queste minacce siano state impiegate nei computer basati in Finlandia o in attacchi diversi.
Raccomandazioni per la Difesa
Di fronte a tattiche così sofisticate, è fondamentale che le organizzazioni adottino misure proattive di cybersecurity, tra cui la formazione degli utenti sulla sicurezza, l’aggiornamento tempestivo dei sistemi e l’impiego di soluzioni di sicurezza avanzate capaci di rilevare e contrastare tecniche elusive come la steganografia.