Grazie al lavoro dei ricercatori di Elastic Security è stato possibile individuare una nuova e temibile versione del malware Ghostpulse. Questa ha sorpreso gli esperti per la sua capacità di nascondersi all’interno dei file PNG, sfruttando una tecnica finora inedita.
Se in passato l’agente malevolo sfruttava il blocco IDAT dei PNG per nascondere payload dannosi, la tecnica adottata dai cybercriminali è cambiata radicalmente. Chi gestisce la campagna malware tende a direzionare le potenziali vittime, attraverso pratiche di social engineering, su siti Web appositamente realizzati. Qui viene presentato all’utente quello che sembra un sistema CAPTCHA, a prima vista del tutto legittimo.
File PNG per gli attacchi malware? Non solo Ghostpulse
Agli utenti viene chiesto di premere una combinazione di tasti, che comporta la copia di un codice JavaScript dannoso negli appunti. Tutto ciò porta all’attivazione di uno script PowerShell, con conseguente download ed esecuzione del payload di Ghostpulse.
Il file eseguibile scaricato viene considerato come attendibile, dunque non individuato dagli antivirus. Questo viene accompagnato da un PNG i cui pixel, letti dal precedente eseguibile, avviano l’infezione vera e propria. Ghostpulse viene spesso utilizzato a sua volta come loader, con il chiaro fine di diffondere altri malware come il famigerato infostealer Lumma.
Non è di certo la prima volta che i file PNG vengono sfruttati nel contesto del cybercrimine. Nel corso del 2023 sono stati segnalati casi relativi ai malware DoubleFinger e GreetingGhoul che, sfruttando questo formato di file, prendono di mira i wallet crittografici.
Come è possibile ridurre i rischi con Ghostpulse e campagne malware simili? La prudenza, in questi contesti, è essenziale. Va fatta grande attenzione ai siti Web visitati, evitando quelli che presentano URL insoliti.