Ricercatori di sicurezza informatica hanno scoperto ancora un altro esempio di come i criminali informatici mascherino le loro attività di malware utilizzando servizi legali (anzi, legalissimi) basati su cloud.
I ricercatori di Trend Micro hanno infatti scoperto un nuovo malware che recupera le istruzioni dai meme pubblicati su un account Twitter controllato dagli aggressori!
Qual è la differenza rispetto ad altri malware?
La maggior parte dei malware si basa sulla comunicazione con il proprio server “command-and-control” per ricevere istruzioni dagli aggressori ed eseguire varie attività sui computer infetti. Questi server sono associati a indirizzi IP che molti strumenti di sicurezza tengono d’occhio e ritengono dannosi: quindi, se un IP è giudicato pericoloso il sistema di difesa lo blocca.
Molti malware recenti riescono a bypassare questo problema perché gli hacker utilizzano sempre più spesso siti Web e server legittimi come infrastrutture nei loro attacchi: in questo modo rendono il software dannoso più difficile da rilevare. Certamente, perché questo esista, è necessaria una falla nei siti e nei server “legittimi”.
Ti sta piacendo l’articolo? Iscriviti alla newsletter di Noi Sicurezza per ricevere altri consigli interessanti sulla sicurezza! (promettiamo di non essere troppo invadenti 😉 Buona continuazione di lettura!
[wysija_form id=”1″]
Meme: attacco hacker con solo un’immagine
Nello schema malevolo recentemente individuato, che secondo i ricercatori è ancora in fase embrionale, gli hacker utilizzano la steganografia, una tecnica – già diffusa nel 1400…) per nascondere contenuti (in questo caso istruzioni) all’interno di un’immagine digitale, di modo che siano invisibili a un osservatore.
Gli hacker che hanno messo a punto questo sistema hanno incorporato i comandi malevoli in un meme pubblicato su Twitter, che il malware quindi analizza ed esegue: agli occhi umani appare come un normale meme (e in effetti lo è..), ma il comando “/ print” – nascosto nei metadati del file – richiede al malware di inviare uno screenshot del computer infetto a un server remoto “command-and-control”.
Il malware, che i ricercatori hanno chiamato “TROJAN.MSIL.BERBOMTHUM.AA”, è stato progettato per controllare l’account Twitter dell’attaccante e quindi scaricare ed eseguire la scansione di file meme per i comandi segreti.
Quando è nato il malware e cosa può fare?
Secondo i ricercatori di Trend Micro, l’account Twitter in questione è stato creato nel 2017 e conteneva solo due meme pubblicati il 25 e 26 ottobre che consegnavano i comandi “/ print” al malware che lo istruiva a fare screenshot.
Il malware invia gli screenshot a un server di comando e controllo, il cui indirizzo è ottenuto tramite un URL hardcoded sul sito Pastebin.
Oltre a effettuare screenshot, il malware può anche ricevere una serie di altri comandi, come recuperare un elenco di processi in esecuzione, prendere il nome dell’account dell’utente registrato, ottenere nomi di file da directory specifiche su una macchina infetta e prelevare gli appunti dell’utente.
Il malware sembra essere nelle prime fasi del suo sviluppo dal momento che il collegamento di pastebin punta a un indirizzo IP privato locale, che è probabilmente un segnaposto temporaneo usato dagli aggressori.
Lo stato di diffusione del “meme” malware
Vale la pena notare che il malware non è stato scaricato da Twitter stesso e attualmente i ricercatori non hanno trovato quale meccanismo specifico è stato o potrebbe essere utilizzato dagli aggressori per consegnare il malware ai computer delle vittime.
La buona notizia è che l’account Twitter utilizzato per diffondere i meme dannosi sembra essere stato disabilitato (certamente non sarebbe un problema per gli hacker crearne un altro), tuttavia non è ancora chiaro chi sia dietro questo malware e come il misterioso hacker stesse diffondendo il malware.
Interessato a proteggere pc, smartphone e rete aziendale? Chiedi consigli a Noi Sicurezza:
CHIEDI INFORMAZIONI