SteganoAmor: steganografia in una campagna Globale di Malware

da Livio Varriale
0 commenti 2 minuti leggi

Una nuova campagna di attacchi informatici denominata SteganoAmor, condotta dal gruppo di hacker TA558, sta utilizzando tecniche di steganografia per nascondere codice malevolo in immagini, colpendo oltre 320 organizzazioni a livello globale secondo quanto riportato da Positive Technology. Questa tecnica permette agli attaccanti di eludere i prodotti di sicurezza tradizionali e distribuire vari strumenti malware sui sistemi compromessi.

Cos’è la Steganografia ?

La steganografia è un metodo per nascondere dati all’interno di file apparentemente innocui, rendendoli indetectabili per gli utenti e i prodotti di sicurezza. In questa campagna, TA558, un attore di minaccia attivo dal 2018 e noto per colpire il settore dell’ospitalità e del turismo, soprattutto in America Latina, ha sfruttato questa tecnica per mascherare il malware in documenti e immagini.

Dettagli dell’Attacco

Gli attacchi iniziano con email contenenti allegati di documenti (file Excel e Word) che sfruttano la vulnerabilità CVE-2017-11882 dell’Equation Editor di Microsoft Office, corretta nel 2017. Se una versione obsoleta di Microsoft Office è installata sul sistema della vittima, l’exploit scarica uno script Visual Basic (VBS) da un servizio legittimo, il quale a sua volta recupera un file immagine (JPG) contenente un payload codificato in base-64.

Annunci

Processo di Infezione

Il codice PowerShell contenuto nello script all’interno dell’immagine scarica il payload finale nascosto all’interno di un file di testo sotto forma di eseguibile codificato in base64 invertito. Questo metodo sofisticato di distribuzione del malware permette agli attacchi di restare sotto il radar.

Famiglie di Malware Distribuite

Tra i malware distribuiti ci sono:

  • AgentTesla: Spyware che funziona come keylogger e ruba credenziali.
  • FormBook: Malware che ruba informazioni, raccoglie screenshot, monitora e registra battiture, e può scaricare ed eseguire file.
  • Remcos: Permette agli attaccanti di gestire a distanza il sistema compromesso.
  • LokiBot: Info-stealer che mira a dati come nomi utente e password.
  • Guloader: Downloader usato per distribuire payload secondari.
  • Snake Keylogger: Malware che registra battiture e raccoglie dati dai browser.
  • XWorm: RAT che dà agli attaccanti il controllo remoto del computer infetto.

Gli attacchi SteganoAmor dimostrano una capacità avanzata di nascondere e distribuire malware in modi sempre più ingegnosi. Le organizzazioni devono mantenere i loro software aggiornati e implementare robuste misure di sicurezza per proteggersi da tali minacce sofisticate.

Si può anche come

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Developed with love by Giuseppe Ferrara