Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'ANALISI

LokiBot, il trojan che si nasconde dentro un’immagine PNG: di cosa si tratta e come difendersi

Una campagna di spam sta diffondendo una variante del trojan LokiBot che nasconde il suo codice malevolo all’interno di un’immagine in formato PNG: una nuova tecnica che consente al malware di non essere rilevato dagli antivirus e dai sistemi di sicurezza aziendali. Ecco tutto quello che c’è da sapere

08 Apr 2019

Paolo Tarsitano


È stata individuata una nuova massiccia campagna di spam in tutto il mondo usata per diffondere una variante del trojan LokiBot classificato come info-stealing e quindi capaci di rubare dati e informazioni archiviati nei computer compromessi.

In particolare, i messaggi di posta elettronica infetti contengono un allegato in formato .ZIPX dannoso nascosto all’interno di un file immagine di tipo .PNG che, proprio per questa sua apparente innocuità, può sfuggire ai sistemi di controllo antispam e antivirus attivi sui computer target.

LokiBot non è una novità per gli analisti di sicurezza: si tratta di un trojan “prolifico” progettato per rubare segretamente informazioni da endpoint compromessi e quindi particolarmente pericoloso soprattutto in ambiti aziendali e produttivi. Il malware è noto per la sua semplicità ed efficacia e nel tempo si è diffuso utilizzando diverse tipologie di allegati infetti.

La pericolosità di LokiBot sta inoltre nel fatto che il suo codice malevolo è facilmente acquistabile nel mercato nero del Dark Web a soli 300 dollari. Chiunque, con un minimo di competenze tecniche, può quindi modificare il codice e rilasciare varianti del trojan con nuove funzionalità, come quest’ultima che consente al malware di “nascondersi” dentro una semplice foto e che per questo ricorda molto la tecnica della steganografia.

Trojan LokiBot: analisi della tecnica di offuscamento

Analizzando i campioni di messaggi di spam finora identificati si scopre che il payload del trojan LokiBot ha tre caratteristiche peculiari.

Intanto, come dicevamo, l’allegato utilizzato nella campagna spam ha un’estensione .ZIPX che rivela subito la natura di archivio compresso. Questi tipi di file compressi sono noti per ospitare codici di malware e sono in genere individuati e segnalati come pericolosi dai filtri di sicurezza delle caselle di posta elettronica.

Nel tentativo di evitare il rilevamento, i criminal hacker ideatori della nuova variante del trojan LokiBot hanno trovato il modo di ingannare gli scanner di sicurezza delle e-mail usando una particolare tecnica di offuscamento dell’archivio che utilizza la firma di un file in formato .PNG (Portable Network Graphics) creato ad hoc.

In particolare, la struttura dei file .PNG è completa di tag “header” e “IEND”: in questo modo, una scansione del file dannoso (identificato come RFQ -56000000005870.zipx) identifica l’allegato come immagine .PNG, anche se ha un’estensione .ZIPX. Il codice dell’archivio compresso malevolo – che contiene LokiBot – viene infatti aggiunto alla fine della firma del file .PNG.

La struttura dei file PNG si presta molto bene a questa particolare tecnica di offuscamento. Il tag IEND dovrebbe segnare la fine dell’immagine e dovrebbe apparire come ultima istruzione del codice sorgente. In realtà, nel codice dell’immagine creata ad hoc dai criminal hacker c’è un mucchio di altri dati (il codice del trojan LokiBot) dopo l’IEND ma la specifica del formato PNG consente tali dati estranei: spetta all’applicazione che apre il file immagine decidere se cercare di interpretare o ignorare tali dati. Ovviamente, i criminal hacker confidano sul fatto che la maggior parte degli scanner di sicurezza delle caselle di posta ignora questi dati aggiuntivi lasciando via libera al trojan.

Inoltre, come ulteriore tecnica di offuscamento del codice malevolo di LokiBot, i criminal hacker hanno trovato il modo di associare l’icona di un’immagine JPEG al file PNG.

La catena infettiva del trojan LokiBot inizia quando l’utente apre il file PNG corrotto allegato all’e-mail di spam. In realtà, così facendo, la vittima non fa altro che richiedere l’apertura dell’archivio compresso nascosto nella PNG. Dalle analisi effettuate, sembrerebbe che solo WinRar consente l’apertura dello ZIPX, mentre altri gestori di archivi compressi come 7-zip e WinZip danno errore probabilmente a causa dei dati estranei contenuti nella firma del file.

Per eseguire il payload di LokiBot, quindi, la vittima deve scompattare l’archivio ZIPX da 500 KB in un nuovo file non compresso da 13,5 MB e poi eseguire il file RFQ -56000000005870.exe. Il payload viene quindi caricato in memoria ed eseguito utilizzando la tecnica del Process Hollowing, che consiste nel creare un nuovo processo che viene lasciato in sospeso, la sua memoria mappata e poi sostituita col codice dannoso di LokiBot.

Come difendersi dal trojan LokiBot

Ovviamente, per non rimanere vittime del trojan LokiBot non bisogna mai aprire o decomprimere allegati di posta elettronica di cui non si è certi della loro provenienza: è l’unico modo per bloccare la catena infettiva del malware.

Un’accortezza da utilizzare anche nel caso in cui il mittente è noto, perché spesso i malware utilizzano le rubriche delle vittime per diffondersi ai loro contatti. Se riceviamo un allegato inaspettato in formato PNG o, a maggior ragione, ZIP è opportuno chiedere conferma al mittente: a volte, una semplice telefonata può bastare per mettere al sicuro il nostro computer e tutti i dati in esso archiviati.

È inoltre utile installare e tenere costantemente aggiornato un buon antivirus dotato di funzionalità di analisi comportamentale e isolamento in sandbox che, per quanto non garantisce l’immunità, è comunque un buon supporto per identificare malware noti e meno noti.

Mai fidarsi del semplice controllo antispam integrato nel server di posta: abbiamo visto che con la tecnica di offuscamento utilizzata da LokiBot questo sistema di sicurezza non offre assolutamente un livello di protezione adeguato.

Infine, soprattutto in ambito aziendale, è importante mantenere alto il livello di consapevolezza degli utenti e dei dipendenti, avvisandoli periodicamente delle minacce in corso, utilizzando dove possibile un team di esperti per salvaguardare la sicurezza del perimetro “cyber” dell’organizzazione stessa.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5