I malware possono celarsi dove meno ce lo si aspetta, persino in un’icona familiare come il logo di Windows. Pare che nel vecchio formato (Windows 7) fosse stata celata una backdoor oscurando il codice dannoso con la steganografia.
Un logo compromesso
Per passare inosservati i cybercriminali cercano sempre di utilizzare programmi o app in apparenza innocue, come già avvenuto più volte sul Play Store. In questo caso però una tecnica chiamata steganografia ha permesso a un gruppo di hacker di nascondere il malware in un’immagine. E non certo un simbolo scelto a caso, ma nella vecchia versione del logo di Windows. Per la precisione in una copia dell’icona di Windows 7.
Il trojan creato dal Witchetty (così si chiama l’organizzazione criminale) è Backdoor.Stegmap e si può celare all’interno di un formato bitmap, utilizzato dalla Microsoft per le immagini raster.
Va detto che la steganografia non è fra le tecniche più usate dagli hacker dato che è una lavorazione complessa, ma può effettivamente generare loghi infetti. Per Witchetty invece è una sorta di marchio di fabbrica.
Backdoor.Stegmap sfrutta principalmente due vulnerabilità per agire: ProxyLogon e ProxyShell, entrambe legate al software Microsoft Exchange. Grazie a loro può prendere il controllo di alcuni server e procedere rubando le credenziali di accesso per il login. A questo punto può diramarsi ancora installando più malware.
Il gruppo Witchetty e le sue imprese
Non si hanno notizie del tutto certe su questi hacker, anche se si crede che facessero prima parte di un gruppo di cyber spionaggio più grande. Per la precisione “l’indiziato” è Cicada, che pare sia nato in Cina lo scorso anno. Gli obiettivi di questa organizzazione erano per lo più giapponesi all’inizio, mentre Witchetty per la maggior parte si è concentrato sul Medio Oriente. Successivamente è passato all’Africa, attaccando la sua Borsa dei valori.
Con tutta probabilità il gruppo hacker ha sviluppato Backdoor.Stegmap qualche mese fa, ad aprile. Oltre a rubare le credenziali questo trojan può permettere di manipolare o rubare dei file ed eseguire o terminare processi. Servendosi di icone conosciute e notoriamente affidabili evitano che gli utenti si allarmino per poi lasciare che il loro malware agisca in background, indisturbato.
Per sentirsi più al sicuro la cosa migliore è installare sempre prontamente gli aggiornamenti di sicurezza.
🔴 FONTI: www.windowsblogitalia.com