Nel suo ultimo report sulla cybersecurity, HP mette in guardia sulle ultime tecnologie impiegate dagli hacker per diffondere malware in giro per il web. Tra le più pericolose, l’inserimento di codice malevolo all’interno delle immagini diffuse su Internet.
La tecnica del malware nelle immagini
Alcuni esempi di questa tecnica sono stati individuati in campagne malware come VIP Keylogger e 0bj3ctivity Stealer. Come ha dichiarato HP Wolf Security nel suo Threat Insights Report, “in entrambe le campagne, gli hacker hanno nascosto codice dannoso nelle immagini che hanno caricato su archive.org, un sito Web di hosting di file“.
Ma come ci riescono? Stando al report, le campagne individuate sfruttano un sistema elaborato per distribuire il malware. Tutto parte da un’e-mail di phishing che si presenta come una fattura o un ordine di acquisto. Questi messaggi invitano le vittime ad aprire allegati dannosi, nel caso di queste campagne dei documenti Excel progettati per sfruttare una vulnerabilità nota in Equation Editor (CVE-2017-11882). Una volta che viene aperto uno di questi documenti, scarica sul dispositivo uno script VBScript che avvia una catena di azioni dannose, che va poi a recuperare un’immagine ospitata su archive.org.
All’interno dell’immagine è nascosto un codice Base64, successivamente decodificato in un file eseguibile .NET. Questo file funge da loader per VIP Keylogger, un malware che ruba dati sensibili, come credenziali, contenuti della clipboard e screenshot.
Sempre HP racconta di un’altra campagna simile, che prevede l’invio di archivi dannosi via e-mail, con messaggi che si spacciano per richieste di preventivi. All’interno degli archivi si trova un file JavaScript che avvia un PowerShell, scarica un’immagine da un server remoto e decodifica il codice nascosto. Tuttavia, in questo caso tutta l’attività malevola termina con l’installazione di un malware noto come 0bj3ctivity Stealer, progettato per sottrarre informazioni dal sistema infetto.
L’uso di GenAI e HTML smuggling
HP Wolf Security ha inoltre osservato un aumento delle tecniche di HTML smuggling, utilizzate per diffondere trojan come XWorm RAT attraverso appositi file HTML.
“In particolare, i file HTML portavano segni distintivi che suggerivano che erano stati scritti con l’aiuto di GenAI“, ha affermato HP.
Secondo il report, la GenAI consente agli hacker di creare varianti personalizzate per eludere le difese e rendere più difficile l’attribuzione degli attacchi. Un esempio recente è la creazione di repository GitHub, dove gli hacker pubblicizzano strumenti per videogiochi, in realtà esche per distribuire il malware Lumma Stealer.
Come difendersi dai malware
Per proteggersi dai malware, come sottolinea il report, è essenziale adottare un approccio proattivo che combini strumenti tecnologici e buone pratiche di sicurezza. Inoltre, è fondamentale mantenere aggiornati tutti i software e i sistemi operativi per beneficiare delle ultime patch di sicurezza, nonché utilizzare soluzioni che isolano le attività rischiose, come l’apertura di allegati email sospetti o il clic su link non verificati, aiuta a prevenire infezioni.
Per quanto riguarda il settore business, le aziende dovrebbero implementare sistemi di monitoraggio delle minacce e strumenti per l’analisi forense, che permettono di identificare e rispondere rapidamente agli attacchi. È importante anche educare utenti e addetti a riconoscere potenziali rischi, come email di phishing o file scaricati da fonti non affidabili. Infine, consultare regolarmente report e risorse affidabili sulle minacce emergenti aiuta a rimanere informati e a rafforzare le difese della rete.
