Le minacce si nascondono anche all'interno di immagini in formato PNG

Con l’espressione “staying under the radar” o “flying under the radar” gli esperti in fatto di sicurezza informatica si riferiscono a quelle metodologie che permettono di mettere in atto altre operazioni pericolose senza che il proprietario del sistema se ne accorga e senza ingenerare alcun allarme da parte delle soluzioni antivirus installate. Se l’obiettivo dei criminali informatici è quello di sottrarre dati personali, informazioni sensibili e controllare un sistema infetto da remoto, si cercano di porre in essere tutte le strategie per sfuggire al monitoraggio dei prodotti antimalware e per evitare di destare sospetti nell’utente.

Per sferrare attacchi “drive-by download” ossia per provocare l’installazione di software dannoso durante la visita di una pagina web (questi tipi di problemi si verificano, tipicamente, quando l’utente “dimentica” di aggiornare il browser, i plugin ed i componenti aggiuntivi, il sistema operativo…) gli aggressori molto spesso si servono di apposito codice JavaScript. La tendenza, negli ultimi tempi, è quella di “infettare” siti web piuttosto famosi sfruttando vulnerabilità presenti nelle applicazioni web utilizzate o lacune nel controllo dei dati inviati in input dal browser (attacchi SQL injection; vedere l’articolo “Rogue software”: cosa sono e come si diffondono. Gli strumenti per rimuovere queste minacce).

Di solito gli aggressori provano ad inserire, nel codice HTML della pagina presa di mira, tag IFRAME malevoli attraverso le quali viene caricato un elemento nocivo, memorizzato su di un server remoto. Servizi come urlQuery (Verificare se un sito è infetto con urlQuery) sono molto utili perché permettono di scoprire, prima ancora di visitare il sito web, se una pagina contenga o meno elementi potenzialmente dannosi. Tipicamente, nel caso in cui dovesse essere rilevata la presenza di un IFRAME malevolo, urlQuery espone il messaggio “Detected malicious iframe injection“.

Molti software antivirus installati in locale, così come servizi quali Google Safebrowsing o, ancora, le soluzioni presentate nell’articolo Controllare se un sito è sicuro. Effettuare la scansione antivirus di un file senza scaricarlo, sono in grado di rilevare la presenza di minacce sui siti web che si stanno visitando.

Gli analisti di Sucuri, società da anni attiva nel campo della sicurezza informatica, hanno rilevato una nuova minaccia che gli aggressori starebbero già utilizzando per restare, appunto, “under the radar“.

La tecnica descritta dai tecnici di Sucuri era parzialmente già nota ma “sono alcuni importanti dettagli a fare la differenza“, si legge nell’intervento da poco apparso sul blog della società.

Per passare inosservati alla scansione delle varie soluzioni antivirus (vedere anche la scansione URL di VirusTotal), gli aggressori avrebbero iniziato ad utilizzare un meccanismo che si basa sull’impiego di semplice codice JavaScript unito con la decodifica di file PNG malevoli.
Come risulta evidente analizzando questo codice JavaScript di esempio, i criminali informatici inseriscono, in una tag IFRAME, codice che all’apparenza sembra assolutamente legittimo.
A ben vedere, però, tale codice provvede a disporre il caricamento di un file d’immagine in formato PNG che se visualizzato direttamente con il browser (copiandone l’indirizzo completo) non desta alcun sospetto.
Utilizzando due funzioni JavaScript, però, viene dinamicamente caricato il contenuto del file PNG a partire da un certo byte e ne viene disposta l’esecuzione.
In altre parole, una porzione del codice JavaScript da eseguire viene nascosta all’interno del file d’immagine in formato PNG per poi essere successivamente utilizzata per caricare elementi malevoli. La tecnica utilizza è quella della steganografia (vedere questi nostri articoli).

Secondo Sucuri, almeno per il momento, gran parte delle soluzioni per la sicurezza non sarebbero in grado di rilevare il caricamento di elementi dannosi sfruttando l’approccio appena descritto.