ChimeraRevo – Il punto di riferimento della tecnologia
menubar
Home > Guide > Internet > Stegano, il malware che…

Stegano, il malware che ‘sfugge’ ai ricercatori

Gaetano Abatemarco Dic 09, 2016

Quando un malware inizia a diffondersi e ad essere sfruttato, solitamente i ricercatori di sicurezza sono i primi a rendersene conto; la prassi comune è che questi professionisti navighino in rete usando macchine virtuali ed in generale ambienti protetti, che gli permettano di analizzare la minaccia nel dettaglio senza danneggiare i loro ambienti di produzione e, dove possibile, trovare una valida soluzione per sconfiggerla.

Con Stegano, però, ci sono voluti ben due anni affinché questo accadesse: Stegano è un kit completo che, sebbene facilmente evitabile (basta non usare Internet Explorer), dimostra quanto i criminali riescano a sfruttare le dinamiche comuni. Sebbene agisca con un criterio già noto, infatti, Stegano è riuscito fino ad ora a sfuggire all’analisi dei ricercatori grazie ad un sofisticato meccanismo che “studia” l’ambiente bersaglio.

2016 11 28 17 24 06 computer virus.png 625×468
Virus, spyware, malware e altri: le differenzeSono tutti dei virus? Che tipo d'infezione abbiamo preso sul PC? Un piccolo glossario per riconoscere facilmente tutte le minacce della rete.
Internet
    virus

Come funziona Stegano, in breve

Volendo riassumere, ecco cosa fa Stegano:

  • la prima parte di Javascript controlla se si tratta di una macchina di un ricercatore;
  • in caso negativo, viene caricato il codice nascosto in una GIF;
  • tale codice fa un secondo controllo sulla macchina bersaglio e lancia un file Flash presente su un sito;
  • questo file Flash esegue un terzo controllo sulla macchina bersaglio;
  • una volta accertato che si tratta di una vittima “reale” e non di un ricercatore, un secondo file Flash nascosto al suo interno può installare un programma per screenshot, screencast e Keylogger;
  • inizia il furto dei dati a favore dei malintenzionati.

Come funziona Stegano, nel dettaglio

Secondo i ricercatori di Eset che lo hanno isolato, Stegano si è diffuso grazie ad alcuni annunci Javascript infetti presenti su alcune reti pubblicitarie usate anche da siti di notizie di enorme portata; sostanzialmente esso mira a rubare le informazioni bancarie dai computer delle vittime grazie a screenshot, registrazioni dello schermo, keylogger e pratiche simili.

antikeylogger
I migliori anti keylogger gratis per WindowsScopriamo quali sono i migliori software gratuiti per evitare di vederci spiati i tasti premuti al PC
Windows
    programmi windows

Il malware è riuscito a sfuggire ai ricercatori, nonostante fosse sotto gli occhi di tutti, grazie ad un sofisticato meccanismo di studio al suo interno: una volta che l’annuncio nocivo viene visualizzato, il malware “studia” il sistema vittima per comprendere se si tratta di una macchina virtuale, un ambiente ristretto o soggetto ad altre tecniche di protezione in genere usate dai ricercatori.

In caso affermativo l’annuncio mostra un’immagine “pulita”, mentre in caso negativo – ovvero una macchina vulnerabile e non di un ricercatore – esso mostra un’immagine GIF nel cui canale alpha (quello della trasparenza) è “nascosto” uno speciale codice QR con altre istruzioni.

stegano malware

A quel punto un secondo script scansiona il codice QR ed esegue le istruzioni nascoste: sfruttando una vulnerabilità nota di Internet Explorer, queste istruzioni fanno un ulteriore controllo sul PC “bersaglio” e si assicurano che la macchina non sia configurata per l’analisi dei pacchetti, per il sandbox e che non siano presenti altri prodotti collegati all’analisi della sicurezza; per finire, il malware controlla la presenza di driver grafici e di sicurezza per “accertarsi” che l’ambiente non sia virtuale.

Una volta accertato che si tratta di un ambiente “reale” e quindi potenzialmente vulnerabile, un piccolissimo iFrame da 1 pixel carica il server in cui è contenuto l’exploit vero e proprio (ovvero un file in Flash che contiene un secondo file in Flash); grazie ad una GIF il server viene a conoscenza della versione giusta del malware da usare e, prima di caricarlo definitivamente, esegue un terzo controllo sulla presenza di determinati tipi di file (caratteristici degli ambienti di ricerca). A quel punto il danno è fatto: Stegano può infettare il PC vittima con una backdoor, un keylogger, un programma per screenshot o per registrare video. E’ così che i criminali possono appropriarsi delle informazioni desiderate.

Come proteggersi?

Secondo i ricercatori di Eset, prima di loro nessuno era riuscito ad identificare ed isolare tale minaccia (non è noto se questa abbia fatto danni); per evitare di essere colpiti, è necessario

Utilizzare programmi sempre aggiornati ed una soluzione di sicurezza affidabile ed aggiornata.

Ovviamente, non usare Internet Explorer e non aver installato Flash sul sistema ci tiene al sicuro a priori.

Come registrare telefonate su iPhone

18 ore fa

In qualsiasi momento può capitare di dover registrare una telefonata importante usando il proprio iPhone, ma purtroppo lo smartphone di Apple non consente di farlo in maniera nativa. Per questo motivo oggi andremo a vedere leggi di più…

registrare telefonate iphone

Teleparty: l’estensione per guardare Netflix con gli amici a distanza

18 ore fa

I servizi di streaming, come Netflix, consentono di vedere una grande quantità di film e serie TV comodamente dal proprio divano. Infatti, pagando un abbonamento mensile, avrete a disposizione un vasto catalogo, che non solo leggi di più…

Netflix

Chrome si blocca o va in crash: soluzioni

18 ore fa

Tantissimi utenti decidono ogni giorno di scaricare e utilizzare Chrome come browser principale. Il motivo è che il suddetto software, grazie alle quasi perfette ottimizzazioni fatte da Google, consente una navigazione web fluida e veloce. leggi di più…

Chrome non risponde e si blocca: come risolvere

Come duplicare lo schermo di iPhone o iPad su PC Windows

24 ore fa

Tutti siamo ormai a conoscenza della profonda integrazione tra tutti i dispositivi Apple, ma fortunatamente esistono diversi sviluppatori capaci di ampliare le funzionalità dei sistemi operativi terzi per renderli in qualche modo compatibili con quelli leggi di più…

Come duplicare lo schermo di iPhone e iPad su Apple TV

TecnOutlet2020: iPhone e prodotti Apple a prezzi stracciati (opinioni e recensione)

2 giorni fa

Una nuova realtà è appena nata sul web e si chiama TecnOutlet2020: la mission è vendere iPhone nuovi o ricondizionati a prezzi stracciati. E sembrano promettere bene. Nel video qui in alto vi abbiamo spiegato leggi di più…

Tecnoutlet2020

Iscriviti alla Newsletter

Articoli recenti

  • Come registrare telefonate su iPhone
  • Teleparty: l’estensione per guardare Netflix con gli amici a distanza
  • Chrome si blocca o va in crash: soluzioni
  • Come duplicare lo schermo di iPhone o iPad su PC Windows
  • TecnOutlet2020: iPhone e prodotti Apple a prezzi stracciati (opinioni e recensione)
  • Chi siamo
  • Lavora con noi
  • Contattaci
  • Privacy

Copyright © 2020. Tutti i diritti riservati. ChimeraRevo SRL - P.I.: IT05544220659

Modifica impostazioni sulla privacy