Un malware nascosto in un file lo avevamo già visto, ma all’interno di un logo, invece? Probabilmente nessuno ha mai assistito ad una situazione così tanto strana come quella che stiamo per raccontarvi: ecco la vicenda al completo.
Un nuovo malware mai visto prima
Gli esperti informatici di Symantec, dopo delle ricerche, hanno scoperto che il gruppo hacker di spionaggio Witchetty, alias LookingFrog, ha nascosto un virus dentro il classico logo Windows. Per riuscirci hanno utilizzato la cosiddetta steganografia, tecnica di cui si servono talvolta i cybercriminali per oscurare la trasmissione di un codice dannoso, in questo caso una backdoor.
È possibile che Witchetty abbia legami con un gruppo di hacker cinesi che si dice abbia l’appoggio dell’amministrazione Xi Jinping e con il gruppo TA410, che in passato ha attaccato alcune società americane che operano nel settore energetico. Ma se tutto questo fosse vero, come potremmo affrontare un nemico così tanto intelligente ed imprevedibile?
Il focus principale degli attacchi
La campagna di hacking dei malviventi, ci fa sapere Symantec, sarebbe partita nel febbraio scorso e finora avrebbe danneggiato due governi mediorientali e il mercato borsistico di una nazione africana, che però non è stata ancora menzionata. Avrebbero utilizzato a loro vantaggio tre vulnerabilità a Exchange ProxyShell e due a ProxyLogon per prendere il controllo di alcuni server e rubare delle credenziali di accesso attualmente non dichiarate.
La tecnica della streganografia con la quale è stata nascosta la backdoor in un vecchio logo di Windows è servita per non farsi notare dagli utenti, ma soprattutto dagli antivirus che sono sempre in agguato in questo caso: “Camuffare il payload ha consentito agli hacker di ospitarlo su un servizio gratuito e affidabile. È molto meno probabile che i download da host ritenuti affidabili come ad esempio GitHub alzino l’attenzione degli utenti“.
Witchetty non si è limitata soltanto a questa azione, perché pare abbia usato pure un proxy apposito per far sì che la macchina difettosa agisse “da server e si connettesse a un server C&C che funge da client, invece del contrario“, insieme ad una serie di altri strumenti e tecniche molto difficili da comprendere per una persona non esperta nel seguente settore.
Tuttavia, la domanda principale è sempre la stessa: come facciamo ad affrontare questo nemico? Il modo migliore per prevenire gli attacchi informatici è installare sempre e comunque gli aggiornamenti di sicurezza nel momento in cui vengono rilasciati, anche se pare che, per il momento, Witchetty e i gruppi hacker “affiliati” siano concentrati soltanto sulle città asiatiche e africane.
? Fonte: www.hdblog.it
