skip to Main Content

Cybercrime, l’ultima trovata sono i malware incorporati nei file audio WAV

Cybercrime, L’ultima Trovata Sono I Malware Incorporati Nei File Audio WAV

Cylance: Il Cybercrime inserisce malware incorporati nei file audio WAV. Alcuni contengono codice associato al CPU miner XMRig Monero. Altri, Metasploit

Attenzione se scaricate file audio (musica, podcast, ecc…), il cybercrime inserisce malware nei file audio WAV. Lo hanno scoperto gli esperti di cyber security di Cylance. Ogni file WAV era accoppiato con un loader per la decodifica e l’esecuzione di contenuti dannosi segretamente inseriti tra i dati audio del file. Peraltro, durante la riproduzione alcuni dei file WAV diffondono musica che non presenta problemi di qualità o difetti evidenti. Altri hanno generano elettricità statica (rumore bianco). Alcuni file contengono codice associato al CPU miner XMRig Monero. Altri, invece, Metasploit utilizzato per stabilire una reverse shell. Entrambi i payload sono stati scoperti nello stesso ambiente, il che suggerisce l’esistenza di una campagna su due fronti per distribuire malware a scopo di lucro e stabilire l’accesso remoto all’interno del network della vittima.

Gli esperti di sicurezza informatica: uno dei loader di file WAV utilizza la steganografia per decodificare-eseguire il file PE. Queste tecniche dimostrano che il contenuto eseguibile potrebbe teoricamente essere nascosto in qualsiasi tipo di file

Secondo gli esperti di cyber security, i loader di file WAV possono essere raggruppati in tre categorie: quelli che utilizzano la steganografia Least Significant Bit (LSB) per decodificare ed eseguire un file PE; quelli che impiegano un algoritmo di decodifica basato su rand () per decodificare ed eseguire un file PE e altri che utilizzano un algoritmo di decodifica basato su rand () per decodificare ed eseguire shellcode. Ogni approccio consente al cybercrime di eseguire codice da un formato di file altrimenti benigno. Le tecniche dimostrano che il contenuto eseguibile potrebbe teoricamente essere nascosto in qualsiasi tipo di file, a condizione che l’attaccante non danneggi la struttura e l’elaborazione del formato del contenitore. L’adozione di questa strategia introduce un ulteriore livello di offuscamento perché il codice sottostante viene rivelato solo in memoria, rendendo il rilevamento più impegnativo.

Il loader che usa la steganografia è stato anche identificato nell’analisi di Symantec di giugno 2019 sull’attività del threat actor Waterbug / Turla

Inoltre, il loader che usa la steganografia, scoperto dagli esperti di sicurezza informatica di Cylance, è stato identificato anche nell’analisi di Symantec di giugno 2019 sull’attività del threat actor Waterbug / Turla. Inoltre, Symantec ha identificato i file WAV contenenti il ​​codice Metasploit codificato. Queste somiglianze possono indicare una relazione tra gli attacchi, sebbene l’attribuzione definitiva sia impegnativa perché criminali cibernetici possono usare strumenti simili.

Back To Top