Okrum, una nuova Backdoor nascosta nei file immagine .png
minaccia utenti e aziende di tutto il mondo!!
Il gruppo criminale di cyber spionaggio “APT15”, anche conosciuto come “Ke3chang”, con una lunga storia di attività malevole in rete perpetrata fuori dalla Cina, sembra essere l’autore di una nuova versione di malware individuato in rete e che viene nascosto nelle immagini con tecniche steganografiche in modo da eludere il rilevamento dei sistemi di protezione, oltre al fatto che ne vengono rilasciate continue nuove versioni (al momento in cui scriviamo sembra che ce ne siano già 7 diverse).
La scoperta è stata fatta da un gruppo di ricercatori di sicurezza che hanno individuato questa nuova e ancora non conosciuta backdoor chiamandola Okrum. Sembra però che una variante di Okrum fosse stata individuata già nel dicembre del 2016 quando aveva preso di mira missioni diplomatiche in Slovacchia, Belgio, Cile, Guatemala e Brasile.
La pericolosità di questo malware sta nel fatto che il payload è nascosto e crittografato in un file PNG, quindi in una immagine, un oggetto, che per molti non è pericoloso. Ma in realtà l’apertura di questa immagine (per lo più dai siti internet attraverso il browser), farà sì che venga eseguito anche il malware che installa la backdoor nel computer della vittima.
Un’immagine PNG dall’aspetto innocuo con una DLL dannosa crittografata incorporata all’interno (fonte www.welivesecurity.com)
La steganografia, la tecnica che si prefigge, appunto, di nascondere una comunicazione tra due interlocutori (dal greco στεγανός (coperto) e γραφία (scrittura)), quindi ad esempio come nascondere un oggetto in un altro, un messaggio in una immagine, risale al 1500, ma da allora, grazie alle conoscenze ed alle tecnologie informatiche si è ampliata sempre di più e viene spesso utilizzato dai cyber criminali per eludere i sistemi di controllo e raggirare la fiducia dell’utente.
La backdoor Okrum, nal caso di infezione del sistema, permette all’attaccante di eseguire solo manualmente i comandi voluti attraverso una shell. Egli potrà fare il download (anche di file recuperati esternamente) e upload, eseguire file e comandi, installare un keylogger, e così via. Il fatto che la backdoor permetta semplici comandi può significare una maggior facilità di sviluppo del malware ma anche una sua più difficile individuazione da parte dei sistemi di sicurezza.
Lo renderanno più difficilmente individuabile anche il fatto che il payload malevolo viene cifrato all’interno dell’immagine, il fatto che il malware riconoscerà di essere eseguito in una sandbox e il fatto che esso verrà modificato frequentemente dai criminali.
Consigliamo di fare sempre attenzione ai file che si scaricano da internet e che si ricevono attraverso la posta elettronica e anche ai siti che si visitano. Tutti i file, anche se crediamo che arrivino da contatti fidati, sottoponiamoli a scansione anti-malware. Oltre ai file eseguibili anche i documenti di office (word, excel, power point, pdf, .) e anche tutte le immagini.
Inoltre i siti web sospetti, prima di aprirli nel browser, sottoponiamoli ad appositi scanner Online, come VirusTotal. Oltre ai link URL questo utile strumento permette di fare la scansione anche di eventuali file e anche codici hash, come si può vedere dall’immagine in basso.
Ribadiamo infine l’opportunità di dotarsi di difese perimetrali (firewall, IPS…) che facciano il controllo dei siti web che gli utenti visitano bloccando quelli che contengono malware e contenuto sospetto (URL Filtering, Application Control, Anti-Malware e Anti-Bot, …).
Potete seguire alert e notizie in tempo reale su Vulnerabilità, Exploits, Attacchi, Codici Malevoli e Cyber-Crime sul nostro profilo Twitter https://twitter.com/euroinformatica o su quello della nostra Security Unit “CyberTeam” su https://twitter.com/CyberTeamClub