Backdoor distribuita tramite steganografia

Backdoor distribuita tramite steganografia

Gli esperti di Symantec hanno scoperto che il gruppo Witchetty usa la steganografia per nascondere una backdoor nell'immagine del logo di Windows 7.
Gli esperti di Symantec hanno scoperto che il gruppo Witchetty usa la steganografia per nascondere una backdoor nell'immagine del logo di Windows 7.

I ricercatori di Symantec hanno scoperto una nuova campagna di cyberspionaggio avviata dal gruppo Witchetty che sfrutta la steganografia per nascondere una backdoor all’interno di un’immagine. I cybercriminali hanno scelto un’immagine molto nota, ovvero il logo di Windows 7. Gli attacchi sono stati rilevati soprattutto in Africa e Medio Oriente.

Backdoor nel logo di Windows 7

Secondo Symantec, Witchetty è collegato al gruppo Cicada (APT10), finanziato dalla Cina, che colpisce solitamente governi, missioni diplomatiche e aziende. Durante i precedenti attacchi sono state utilizzate le backdoor X4 e LookBack. Per la nuova campagna è stata scelta Backdoor.Stegmap che sfrutta la steganografia per scaricare il payload da un’immagine bitmap.

L’immagine in questione, prelevata da un repository di GitHub, è il logo di Windows 7. L’utente vede un’immagine apparentemente innocua, mentre la backdoor inizia le sue attività in background. I cybercriminali sfruttano le note vulnerabilità ProxyLogon e ProxyShell di Microsoft Exchange per installare web shell sui server accessibili da remoto e non ancora aggiornati.

Oltre ad accedere a file, directory e processi, la backdoor sottrae le credenziali di login con il noto tool Mimikatz e si propaga nella rete interna per installare altri malware sui computer. Tutti i dati raccolti sono quindi inviati al server remoto.

È chiaro che questo tipo di minaccia è inefficace se gli amministratori IT mantengono aggiornati i server Exchange. Microsoft ha rilasciato tutte le patch oltre un anno fa. La backdoor del gruppo Witchetty viene rilevata e bloccata dalle soluzioni di sicurezza offerte da Symantec.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Fonte: Symantec
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 30 set 2022
Link copiato negli appunti