Gli hacker usano le immagini per nascondere malware, distribuire VIP Keylogger e 0bj3ctivity Stealer
Secondo il Threat Insights Report di HP Wolf Security per il terzo trimestre del 2024, i criminali informatici stanno portando le loro tattiche stealth a un livello superiore, incorporando codice dannoso nei file immagine per distribuire malware come VIP Keylogger e 0bj3ctivity Stealer. Queste campagne sofisticate sfruttano piattaforme affidabili come Archive.org per distribuire malware aggirando i metodi di rilevamento tradizionali.
Sommario
Come funziona l'attacco: malware nascosto nelle immagini
Le campagne iniziano con un'e -mail di phishing progettata per ingannare le vittime e indurle ad aprire allegati dannosi . Queste e-mail spesso imitano fatture o ordini di acquisto per creare credibilità. Una volta aperto, l'allegato innesca un exploit per la vulnerabilità obsoleta di Microsoft Equation Editor ( CVE-2017-11882 ) per scaricare un file VBScript.
La catena di attacco
- E-mail di phishing : le vittime ricevono un'e-mail ingannevole contenente allegati dannosi.
- Esecuzione di VBScript : il VBScript scaricato esegue uno script PowerShell.
- Recupero immagini : PowerShell scarica un'immagine da Archive.org.
- Estrazione di codice dannoso : l'immagine contiene malware codificato in Base64 che viene estratto e decodificato in un file eseguibile .NET.
- Distribuzione del payload : il caricatore .NET installa il payload malware finale.
Nella prima campagna, questo payload è VIP Keylogger, uno strumento progettato per catturare sequenze di tasti, contenuti degli appunti, schermate e credenziali. Nella seconda campagna, il payload è 0bj3ctivity Stealer, un malware che ruba informazioni.
I kit malware abbassano la barriera per gli aggressori
Le somiglianze tra le due campagne indicano che i criminali informatici stanno sfruttando i kit malware. Questi kit semplificano il processo di attacco, riducendo le competenze tecniche richieste per eseguire complesse catene di infezione. Questa tendenza riflette la crescente mercificazione del crimine informatico, in cui gli strumenti predefiniti semplificano anche per gli aggressori alle prime armi la distribuzione di malware.
Tecniche aggiuntive in uso
HP Wolf Security ha anche identificato il contrabbando di HTML come una tattica complementare. In questo metodo, gli aggressori distribuiscono malware come XWorm RAT utilizzando dropper AutoIt nascosti in file HTML dannosi. Alcuni di questi file sono stati generati utilizzando strumenti GenAI, dimostrando come l'intelligenza artificiale venga utilizzata per migliorare la distribuzione e l'offuscamento del malware.
Le campagne GitHub consegnano il ladro di Lumma
Un'altra campagna degna di nota ha coinvolto l'uso di repository GitHub che si spacciavano per fonti di trucchi e strumenti di modifica per videogiochi. Questi repository distribuivano segretamente il malware Lumma Stealer tramite dropper basati su .NET, evidenziando come gli aggressori sfruttano piattaforme popolari per colpire utenti ignari.
Perché gli attacchi basati sulle immagini sono minacciosi
L'incorporamento di malware nelle immagini è una tecnica nota come steganografia, che nasconde codice dannoso in file apparentemente innocui. Questo metodo aggira molti sistemi antivirus, che hanno meno probabilità di esaminare attentamente i file di immagini. L'uso di piattaforme di hosting affidabili come Archive.org complica ulteriormente gli sforzi di rilevamento.
Strategie di mitigazione per le organizzazioni
Per difendersi da queste minacce in continua evoluzione, le organizzazioni dovrebbero implementare le seguenti misure:
- Correggi le vulnerabilità note : risolvi le vulnerabilità software obsolete come CVE-2017-11882.
- Abilita il rilevamento avanzato delle minacce : utilizza soluzioni in grado di rilevare la steganografia e i comportamenti sospetti dei file.
- Formazione dei dipendenti : formare il personale a riconoscere le e-mail di phishing ed evitare di aprire allegati inaspettati.
- Limita l'accesso alle fonti attendibili : limita l'uso delle piattaforme di condivisione file ai domini approvati.
La crescente mercificazione della criminalità informatica
Man mano che i kit di malware diventano più accessibili, gli aggressori di tutti i livelli di abilità possono assemblare catene di infezione efficaci. L'integrazione di strumenti di intelligenza artificiale nella creazione di malware amplifica ulteriormente la sfida per i difensori della sicurezza informatica, rendendo gli attacchi più vari e difficili da attribuire.
Le scoperte di HP Wolf Security sottolineano l'urgenza di restare al passo con queste minacce in evoluzione. Adottando strategie di difesa proattive e monitorando le tattiche emergenti, le organizzazioni possono proteggere meglio le proprie reti da queste campagne sofisticate.