Quando un malware inizia a diffondersi e ad essere sfruttato, solitamente i ricercatori di sicurezza sono i primi a rendersene conto; la prassi comune è che questi professionisti navighino in rete usando macchine virtuali ed in generale ambienti protetti, che gli permettano di analizzare la minaccia nel dettaglio senza danneggiare i loro ambienti di produzione e, dove possibile, trovare una valida soluzione per sconfiggerla.
Con Stegano, però, ci sono voluti ben due anni affinché questo accadesse: Stegano è un kit completo che, sebbene facilmente evitabile (basta non usare Internet Explorer), dimostra quanto i criminali riescano a sfruttare le dinamiche comuni. Sebbene agisca con un criterio già noto, infatti, Stegano è riuscito fino ad ora a sfuggire all’analisi dei ricercatori grazie ad un sofisticato meccanismo che “studia” l’ambiente bersaglio.
[articolo id=”152141″]
Come funziona Stegano, in breve
Volendo riassumere, ecco cosa fa Stegano:
- la prima parte di Javascript controlla se si tratta di una macchina di un ricercatore;
- in caso negativo, viene caricato il codice nascosto in una GIF;
- tale codice fa un secondo controllo sulla macchina bersaglio e lancia un file Flash presente su un sito;
- questo file Flash esegue un terzo controllo sulla macchina bersaglio;
- una volta accertato che si tratta di una vittima “reale” e non di un ricercatore, un secondo file Flash nascosto al suo interno può installare un programma per screenshot, screencast e Keylogger;
- inizia il furto dei dati a favore dei malintenzionati.
Come funziona Stegano, nel dettaglio
Secondo i ricercatori di Eset che lo hanno isolato, Stegano si è diffuso grazie ad alcuni annunci Javascript infetti presenti su alcune reti pubblicitarie usate anche da siti di notizie di enorme portata; sostanzialmente esso mira a rubare le informazioni bancarie dai computer delle vittime grazie a screenshot, registrazioni dello schermo, keylogger e pratiche simili.
[articolo id=”231478″]
Il malware è riuscito a sfuggire ai ricercatori, nonostante fosse sotto gli occhi di tutti, grazie ad un sofisticato meccanismo di studio al suo interno: una volta che l’annuncio nocivo viene visualizzato, il malware “studia” il sistema vittima per comprendere se si tratta di una macchina virtuale, un ambiente ristretto o soggetto ad altre tecniche di protezione in genere usate dai ricercatori.
In caso affermativo l’annuncio mostra un’immagine “pulita”, mentre in caso negativo – ovvero una macchina vulnerabile e non di un ricercatore – esso mostra un’immagine GIF nel cui canale alpha (quello della trasparenza) è “nascosto” uno speciale codice QR con altre istruzioni.
A quel punto un secondo script scansiona il codice QR ed esegue le istruzioni nascoste: sfruttando una vulnerabilità nota di Internet Explorer, queste istruzioni fanno un ulteriore controllo sul PC “bersaglio” e si assicurano che la macchina non sia configurata per l’analisi dei pacchetti, per il sandbox e che non siano presenti altri prodotti collegati all’analisi della sicurezza; per finire, il malware controlla la presenza di driver grafici e di sicurezza per “accertarsi” che l’ambiente non sia virtuale.
Una volta accertato che si tratta di un ambiente “reale” e quindi potenzialmente vulnerabile, un piccolissimo iFrame da 1 pixel carica il server in cui è contenuto l’exploit vero e proprio (ovvero un file in Flash che contiene un secondo file in Flash); grazie ad una GIF il server viene a conoscenza della versione giusta del malware da usare e, prima di caricarlo definitivamente, esegue un terzo controllo sulla presenza di determinati tipi di file (caratteristici degli ambienti di ricerca). A quel punto il danno è fatto: Stegano può infettare il PC vittima con una backdoor, un keylogger, un programma per screenshot o per registrare video. E’ così che i criminali possono appropriarsi delle informazioni desiderate.
Come proteggersi?
Secondo i ricercatori di Eset, prima di loro nessuno era riuscito ad identificare ed isolare tale minaccia (non è noto se questa abbia fatto danni); per evitare di essere colpiti, è necessario
Utilizzare programmi sempre aggiornati ed una soluzione di sicurezza affidabile ed aggiornata.
Ovviamente, non usare Internet Explorer e non aver installato Flash sul sistema ci tiene al sicuro a priori.
5 risposte su “Stegano, il malware che ‘sfugge’ ai ricercatori”
alcuni siti che ti obbligano usare software obsoleto sono pure della pa
Molto grave soprattutto perché si tratta di lavoro.
Purtroppo vi sono moltissime situazioni lavorative in cui non solo IE è l’unico browser supportato, ma in certi casi si è persino obbligati ad averne una versione vecchia con, peggio che peggio, vecchi plug-in Java…
Inviato da Chimera Revo per Windows
Mesi o anni? XD
Internet explorer? Non so quanti mesi è che non lo uso più.