La steganografia al servizio della criminalità informatica

I cyber-malintenzionati hanno ormai da tempo inserito nel loro arsenale offensivo la steganografia digitale, in qualità di efficace metodo per occultare informazioni di particolare importanza, nonostante tale tecnica non abbia di fatto conosciuto un’ampia diffusione. Tuttavia, i sample di codice nocivo ottenuti nel corso delle recenti campagne cybercriminali, dimostrano un evidente aumento del grado di popolarità e di sofisticazione di tale metodo di camuffamento.

Intervenendo alla conferenza Black Hat Europe, Pierre-Marc Bureau, di Dell SecureWorks, e Christian Dietrich, di Crowdstrike, hanno citato come esempio alcuni programmi malware attualmente in circolazione, i quali si avvalgono della steganografia per oscurare dati di importanza vitale.

Una delle ultime varianti del bot DDoS denominato Foreign, ad esempio, riceve i comandi dal proprio server C&C attraverso i messaggi standard di errore a livello di protocollo HTTP (errore 404). Il bot esegue il parsing della pagina web, in apparenza del tutto usuale, ed estrae il comando codificato in Base64, nascosto all’occhio vigile dei ricercatori all’interno dei tag HTML <comment>.

Nel 2014, poi, affermano Pierre-Marc Bureau e Christian Dietrich, è stato osservato come il noto downloader Lurk provvedesse ad occultare il proprio URL di riferimento in un’immagine .BMP. Il banker Vawtrak, conosciuto anche come Neverquest e Snifula, ha iniziato a far uso della steganografia all’inizo dell’anno in corso, in qualità di “meccanismo di riserva per ricevere l’URL occorrente per il download del file di configurazione”. Tali informazioni vengono occultate nel file favicon.ico, collocato nella rete Tor.

I ricercatori di SecureWorks hanno ugualmente analizzato per primi Stegoloader, un programma spyware che viene recapitato all’utente-vittima tramite un apposito modulo di implementazione. Una volta compromesso il computer preso di mira, il modulo in questione provvede a scaricare, da un sito web legittimo, un file .PNG contenente il payload nocivo. Lo scopo principale che si prefigge Stegoloader è quello di realizzare il furto di informazioni; tale funzionalità nociva risulta implementata in vari moduli, i quali consentono di ottenere l’accesso a documenti, elenchi dei programmi installati, cronologia del browser, etc.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *