Quando un malware inizia a diffondersi e ad essere sfruttato, solitamente i ricercatori di sicurezza sono i primi a rendersene conto; la prassi comune è che questi professionisti navighino in rete usando macchine virtuali ed in generale ambienti protetti, che gli permettano di analizzare la minaccia nel dettaglio senza danneggiare i loro ambienti di produzione e, dove possibile, trovare una valida soluzione per sconfiggerla.
Con Stegano, però, ci sono voluti ben due anni affinché questo accadesse: Stegano è un kit completo che, sebbene facilmente evitabile (basta non usare Internet Explorer), dimostra quanto i criminali riescano a sfruttare le dinamiche comuni. Sebbene agisca con un criterio già noto, infatti, Stegano è riuscito fino ad ora a sfuggire all’analisi dei ricercatori grazie ad un sofisticato meccanismo che “studia” l’ambiente bersaglio.
Come funziona Stegano, in breve
Volendo riassumere, ecco cosa fa Stegano:
- la prima parte di Javascript controlla se si tratta di una macchina di un ricercatore;
- in caso negativo, viene caricato il codice nascosto in una GIF;
- tale codice fa un secondo controllo sulla macchina bersaglio e lancia un file Flash presente su un sito;
- questo file Flash esegue un terzo controllo sulla macchina bersaglio;
- una volta accertato che si tratta di una vittima “reale” e non di un ricercatore, un secondo file Flash nascosto al suo interno può installare un programma per screenshot, screencast e Keylogger;
- inizia il furto dei dati a favore dei malintenzionati.
Come funziona Stegano, nel dettaglio
Secondo i ricercatori di Eset che lo hanno isolato, Stegano si è diffuso grazie ad alcuni annunci Javascript infetti presenti su alcune reti pubblicitarie usate anche da siti di notizie di enorme portata; sostanzialmente esso mira a rubare le informazioni bancarie dai computer delle vittime grazie a screenshot, registrazioni dello schermo, keylogger e pratiche simili.
Il malware è riuscito a sfuggire ai ricercatori, nonostante fosse sotto gli occhi di tutti, grazie ad un sofisticato meccanismo di studio al suo interno: una volta che l’annuncio nocivo viene visualizzato, il malware “studia” il sistema vittima per comprendere se si tratta di una macchina virtuale, un ambiente ristretto o soggetto ad altre tecniche di protezione in genere usate dai ricercatori.
In caso affermativo l’annuncio mostra un’immagine “pulita”, mentre in caso negativo – ovvero una macchina vulnerabile e non di un ricercatore – esso mostra un’immagine GIF nel cui canale alpha (quello della trasparenza) è “nascosto” uno speciale codice QR con altre istruzioni.
A quel punto un secondo script scansiona il codice QR ed esegue le istruzioni nascoste: sfruttando una vulnerabilità nota di Internet Explorer, queste istruzioni fanno un ulteriore controllo sul PC “bersaglio” e si assicurano che la macchina non sia configurata per l’analisi dei pacchetti, per il sandbox e che non siano presenti altri prodotti collegati all’analisi della sicurezza; per finire, il malware controlla la presenza di driver grafici e di sicurezza per “accertarsi” che l’ambiente non sia virtuale.
Una volta accertato che si tratta di un ambiente “reale” e quindi potenzialmente vulnerabile, un piccolissimo iFrame da 1 pixel carica il server in cui è contenuto l’exploit vero e proprio (ovvero un file in Flash che contiene un secondo file in Flash); grazie ad una GIF il server viene a conoscenza della versione giusta del malware da usare e, prima di caricarlo definitivamente, esegue un terzo controllo sulla presenza di determinati tipi di file (caratteristici degli ambienti di ricerca). A quel punto il danno è fatto: Stegano può infettare il PC vittima con una backdoor, un keylogger, un programma per screenshot o per registrare video. E’ così che i criminali possono appropriarsi delle informazioni desiderate.
Come proteggersi?
Secondo i ricercatori di Eset, prima di loro nessuno era riuscito ad identificare ed isolare tale minaccia (non è noto se questa abbia fatto danni); per evitare di essere colpiti, è necessario
Utilizzare programmi sempre aggiornati ed una soluzione di sicurezza affidabile ed aggiornata.
Ovviamente, non usare Internet Explorer e non aver installato Flash sul sistema ci tiene al sicuro a priori.
