Allarme Malware: diffusi tramite immagini PNG per rubare criptovalute

Immagini PNG utilizzate per diffondere un malware potenzialmente letale per i wallet di criptovalute: ecco il temibile GreetingGhoul.
Marco Ponteprino
Pubblicato il 13 giu 2023
Allarme Malware: diffusi tramite immagini PNG per rubare criptovalute
pixabay.com

Un massiccio e inquietante attacco, portato avanti da un gruppo di hacker di lingua russa, utilizza un loader e immagini PNG per diffondere malware.

Questi, distribuiti nella maggior parte dei casi in ambiti aziendali, sono stati individuati prontamente dai ricercatori di Kaspersky. Il risultato della ricerca, apparsa in un blog su un post del noto produttore di antivirus, parla di aree come Europa, Stati Uniti e America Latina come le principali vittime della campagna.

I cybercriminali, durante la diffusione del malware, utilizzano DoubleFinger, ovvero un loader multistadio. L’agente malevolo vero e proprio, poi, si rivela essere GreetingGhoul, un malware studiato appositamente per rubare le credenziali dei wallet di criptovalute e non solo.

Gli stessi ricercatori Kaspersky hanno individuato commenti al codice interno dell’agente malevolo in russo. Ciò colloca gli autori come cittadini di qualche nazione dell’area post-sovietica.

Le immagini PNG contengono un codice molto pericoloso per i wallet di criptovalute

Gli attacchi DoubleFinger iniziano con un’e-mail di phishing. Se la vittima clicca sul file di informazioni sul programma dannoso associato (estensione .pif), innesca una reazione a catena che porta alcuni shellcode dannosi a scaricare un’immagine PNG già presente sul sito da imgur.com.

L’immagine, apparentemente anonima, utilizza la steganografia, nascondendo i dati dannosi. Lo shellcode cerca nel PNG una particolare stringa nel suo codice (0xea79a5c6) che contiene un payload crittografato.

GreetingGhoul agisce rivelando l’app relativa all’eventuale wallet delle criptovalute e ne ruba le credenziali. Il tutto avviene utilizzando MS WebView2, uno strumento utile per incorporare codice Web in app desktop e per svolgere altre attività potenzialmente illecite.

Questo caso dimostra, ancora una volta, come la rete sia un luogo molto pericoloso. Il consiglio è sempre e comunque quello di adottare un ottimo antivirus e di avere la massima prudenza quando si naviga online.

Fonte: darkreading.com

Ti consigliamo anche

GitHub: scoperti 3.000 account che diffondono malware
Vulnerabilità

GitHub: scoperti 3.000 account che diffondono malware
Hamster Kombat, rischio malware per milioni di videogiocatori
Vulnerabilità

Hamster Kombat, rischio malware per milioni di videogiocatori
EvilVideo, l'exploit zero-day Telegram sfruttato per nascondere malware
Vulnerabilità

EvilVideo, l'exploit zero-day Telegram sfruttato per nascondere malware
Google Play Store, scansione malware: Play Protect migliora ancora
Sicurezza

Google Play Store, scansione malware: Play Protect migliora ancora
Link copiato negli appunti