I ricercatori di sicurezza hanno identificato un nuovo vettore di attacco, battezzato ImageGate, che consente di inserire malware all’interno di immagini e file grafici. Analogamente a quanto già visto di recente nel caso del trojan Nemucod, distribuito in file in formato SVG, i ricercatori hanno scoperto un sistema mediante il quale i cybercriminali sono in grado di eseguire il codice malevolo contenuto in queste immagini in maniera automatica quando vengono caricate in applicazioni social come Facebook e LinkedIn.
Gli attaccanti sfruttano un’errata configurazione nell’infrastruttura di queste piattaforme social per forzare deliberatamente le loro vittime a scaricare il file immagine malevolo. Se l’utente incautamente apre il file scaricato, il codice malevolo viene eseguito e il dispositivo dell’utente viene immediatamente infettato.
Stando a quanto riportato dai ricercatori, questa tecnica sarebbe stata utilizzata nella recente massiccia campagna di distribuzione del ransomware Locky, in particolare via Facebook. Nel caso di Locky, una volta scaricato e aperto il file immagine malevolo, tutti i file sul PC risultano automaticamente cifrati dal ransomware.
L’attacco richiede l’interazione dell’utente, che deve prima fare clic sull’allegato al messaggio e, successivamente, confermare il download di un file che ha l’estensione “.hta”. Questa estensione è normalmente associata ai file in formato HTA (HTML Application) che sono a tutti gli effetti eseguibili Windows. Se la vittima lancia il file salvato, il PC viene immediatamente infettato dal ransomware Locky.
Facebook e LinkedIn sono state informate dell’esistenza di questo tipo di attacco già all’inizio di settembre. Per evitare di diffondere informazioni utili ai cybercriminali che volessero implementare l’attacco, i ricercatori hanno dichiarato che pubblicheranno i dettagli tecnici dell’exploit solamente dopo che la falla sarà stata risolta, mediante opportuni aggiornamenti delle maggiori piattaforme social interessate.
Per evitare di cadere vittime di questo tipo di attacco informatico, i ricercatori raccomandano agli utenti le seguenti azioni di prevenzione: se, dopo aver fatto clic su un’immagine, il browser richiede di scaricare un file, non aprirlo per nessun motivo. Di norma i siti Web dei social network dovrebbero mostrare l’immagine direttamente senza bisogno di scaricare nessun file.
Non aprire mai file immagini con estensioni insolite come “.svg”, “.js” o “.hta”.
