La tecnica di nascondere codice dannoso nelle immagini non è particolarmente nuova. E’ gia da diversi amni che i criminali informatici modificano i file per nascondere script e codice dannoso in allegati e-mail, PDF, file Excel, PNG, JPG, xml, svg, rar,
Tuttavia continuano a fare progressi, personalizzando i loro attacchi e incorporando strumenti ancora più pericolosi nelle immagini.
Keylogger , 0bj3ctivityStealer e Lumma Stealer sono i più comuni stealer in circolazione e il codice dannoso all’interno delle immagini sta rapidamente diventando un canale di distribuzione per ciascuno di essi.
Punti chiave
I criminali informatici utilizzano sempre più spesso immagini con codice dannoso nascosto per eludere il rilevamento e diffondere malware, avvalendosi di strumenti come la steganografia e script personalizzati.
Tecniche come l’inserimento di codice dannoso nei metadati di un’immagine o l’alterazione di bit dei suoi pixel con strumenti LSB (Least Significant Bits) sono ampiamente accessibili e semplici da utilizzare, alimentando questa tendenza.
Il nostro rapporto evidenzia l’uso di immagini dannose in campagne di phishing, repository GitHub e siti web legittimi come Internet Archive.
Il codice nascosto può causare gravi violazioni tramite la distribuzione di spyware, stealer e malware, con ripercussioni sulla sicurezza personale, aziendale e governativa
Come si nasconde il codice dannoso nelle immagini
Ma come fanno esattamente a nascondere il codice nelle immagini? I passaggi e i dettagli di ogni fase variano leggermente a seconda della campagna di minaccia sviluppata.
Tuttavia, la maggior parte degli aggressori adotta la seguente procedura per nascondere il codice in un’immagine:
1. Selezionare l’immagine giusta
Un passaggio fondamentale è la scelta dell’immagine giusta per il loro scopo. L’immagine non deve solo apparire innocua (ad esempio, un file JPEG o PNG), ma deve anche essere selezionata e adattata specificamente al tipo di attacco informatico che gli autori della minaccia hanno in mente.
Ad esempio, se una campagna di phishing prevede l’invio di e-mail malevoli, le immagini selezionate corrispondono a quelle solitamente inviate via e-mail. D’altra parte, se gli aggressori stanno creando un sito web di phishing, l’immagine potrebbe essere un’intestazione o un file scaricabile.
Non essendoci una regola generale ci si lascia andare alla creatività. Ad esempio, come mostrato nell’immagine sottostante, HP Wolf Security ha trovato un codice PowerShell nascosto in un’immagine che ha attivato il download di un’altra immagine dannosa ospitata su Internet Archive (vedere la prima riga del codice sottostante).
Questo esempio dimostra le numerose possibilità e combinazioni a disposizione quando si utilizzano queste tecniche.
Il codice dannoso nascosto all’interno di un’immagine può innescare il download di altri script.
Si registra un aumento delle immagini dannose ospitate su siti web legittimi come The Internet Archive e GitHub.
2. Scegliere lo strumento di steganografia
Gli strumenti di steganografia sono applicazioni software semplici e leggere che consentono agli utenti di incorporare dati nascosti all’interno di file come immagini, audio o testo. Sono progettati per nascondere i dati in modo efficace senza destare sospetti.
Utilizzando strumenti di steganografia specializzati, si inserisce codice dannoso nell’immagine. Questi strumenti consentono di nascondere i dati all’interno della struttura pixel dell’immagine senza alterarne visibilmente l’aspetto.
Si possono trovare strumenti di steganografia open source su GitHub o altre piattaforme di sviluppo. Un programmatore esperto può anche sviluppare il proprio strumento partendo da zero, utilizzando C++ , Java, altri linguaggi di programmazione o persino l’intelligenza artificiale .
3. Tecniche di codifica: metadati vs. bit meno significativi
I criminali possono utilizzare diverse tecniche per nascondere i dati nelle immagini. Il codice dannoso può essere nascosto nei metadati del file immagine o tramite un altro metodo noto come Least Significant Bits (LSB). Questi sono i due metodi più diffusi, con LSB che è il più sofisticato.
Gli strumenti LSB modificano i bit dei pixel meno essenziali di un’immagine. Modificando solo i bit meno significativi, il codice integrato rimane completamente nascosto e l’immagine non appare modificata alla vittima.
In entrambe le tecniche, si cerca di far sì che l’immagine sia malevole e funzionale, pur essendo alla vista identica alla sua forma originale.
4. Connessione dell’immagine all’infrastruttura degli aggressori
L’obiettivo finale dei criminali informatici è, ovviamente, installare programmi stealer e spyware negli ambienti PC.
I malware identificati in queste campagne includono VPN Keylogger , 0bj3ctivityStealer e Lumma Stealer . Tuttavia, il malware non è completamente integrato nelle immagini: queste ultime solitamente fungono da fase iniziale di un attacco, decomprimendo ed eseguendo il malware. Le immagini potrebbero anche essere codificate per forzare il download di ulteriori risorse malware o eseguire script dannosi.
Queste immagini modificate possono reindirizzare gli utenti a siti web di phishing e attivare notifiche false.
In una campagna degna di nota del 202 chiamata SteganoArmor un’immagine venne codificata per sfruttare una vulnerabilità nota, ovvero l’Equation Editor CVE2017-11882 di Microsoft Office , grazie alla quale Microsoft Office può non riuscire a gestire correttamente gli oggetti in memoria, consentendo agli aggressori di eseguire script arbitrari.
5. Distribuzione di immagini dannose
l’hosting di malware su siti legittimi come i repository GitHub, e-mail di phishing o campagne sui social media e falsi siti di download, rappresentano le principali tecniche utilizzate per distribuire malware.
Come mostrato nell’immagine sottostante, qualcuno ha sviluppato un repository GitHub dannoso che impersona un software spoofer per distribuire Lumma Stealer.
I software spoofer sono popolari tra i giocatori e vengono utilizzati per nascondere numeri di serie e indirizzi fisici per aggirare i controlli di sicurezza. Allo stesso modo, i download di software falsi e i crack dei software sono esche tipiche.
I software spoofer sono molto diffusi per aggirare i controlli di sicurezza, ma possono contenere codice dannoso.
Quali tipi di strumenti utilizzano i criminali per nascondere il codice nelle immagini?
Sulla base dell’HP Wolf Security Threat Insights Report, è improbabile che strumenti come Pillow (una libreria Python che consente agli utenti di elaborare immagini) o pyexiv2 siano stati utilizzati esplicitamente dagli aggressori nella loro campagna. Queste librerie sono comuni nella comunità dell’hacking etico, ma non sono ottimizzate per attività dannose.
Sulla base delle tecniche menzionate nel rapporto, è più probabile che nella campagna siano stati utilizzati i seguenti strumenti:
Steghide : uno strumento ben noto per incorporare dati nascosti nei file immagine.
OpenStego : un altro popolare strumento di steganografia open source che consente di nascondere dati in immagini o altri tipi di file.
Script personalizzati : gli aggressori spesso creano i propri script di steganografia in Python, C++ o altri linguaggi.
Oppure affidarsi all‘intelligenza artificiale generativa per sviluppare codice dannoso per HTML Smuggling.
Come mostrato nell’immagine sottostante, l’OPSWAT ha identificato del codice nascosto in un’immagine utilizzata in una pagina HTML nell’aprile 2024.
Sebbene lo smuggling di HTML e il codice nascosto nelle immagini non siano considerati la stessa tecnica, entrambe condividono basi, tecniche e obiettivi comuni.
Lo smuggling di codice HTML è un altro modo per far arrivare codice dannoso a un client ignaro.
Quanto possono essere pericolose le immagini dannose?
Quando una vittima scarica e interagisce con un’immagine infetta, scarica, apre o esegue questi file, il codice nascosto innesca automaticamente un effetto domino che, se ha successo, culmina con la violazione del tuo ambiente digitale.
Una volta installato su un dispositivo, uno stealer prende di mira informazioni di sistema, cookie del browser, token, credenziali e password. Spesso tenta anche di accedere ai portafogli elettronici e ai conti finanziari e bancari.
Al contrario, se l’immagine è codificata per caricare spyware, il dispositivo violato si connette a un server C2 controllato dall’aggressore, dove invia tutte le informazioni a cui il criminale o gruppo di criminali desidera accedere.
Ciò può includere, a titolo esemplificativo ma non esaustivo, acquisizioni e registrazioni dello schermo, audio in diretta o registrato, telefonate, video in diretta, riunioni, dati sensibili, cartelle e file, registrazioni di tasti premuti e altro ancora.
Anche i malware stealer e spyware sono diventati molto silenti nel non essere rilevati. Questo significa che le vittime potrebbero non accorgersi che c’è qualcosa che non va nel loro computer.
La conclusione
Il codice dannoso nascosto nelle immagini dovrebbe essere considerato estremamente pericoloso perché può violare i sistemi e danneggiare infrastrutture di aziende, governi e organizzazioni.
L’utilizzo di immagini per nascondere codice dannoso è diventato un trend che merita attenzione. Questa tecnica è furtiva, silenziosa ed efficace e aumenta le percentuali di successo degli attacchi su larga scala.
Solitamente utilizzata come trigger per connettere un dispositivo all’infrastruttura degli aggressori o caricare malware, questa tecnica è in aumento perché gli strumenti sono popolari e liberamente accessibili e possono essere personalizzati per sfruttare vulnerabilità molto specifiche.
Seguici anche su:
@INSTAGRAM https://www.instagram.com/hackerpunk2019
@LINKEDIN https://www.linkedin.com/company/hackerpunk
@FACEBOOK https://www.facebook.com/hackerpunk2019
@EBOOK https://amzn.to/48exAdf
@EBOOK (English version) https://amzn.to/4fflbbv
@YOUTUBE https://www.youtube.com/channel/UCiAAq1h_ehRaw3gi09zlRoQ