PNGPlug: Quando il malware si nasconde dentro immagini innocenti

Il mondo della cybersecurity è sempre più complesso e minaccioso. Uno dei metodi più astuti utilizzati dai cyberattaccanti per diffondere malware è quello di nasconderlo all’interno di immagini in formato PNG. Questo tipo di attacco, noto come PNGPlug, è particolarmente pericoloso perché le immagini PNG sono comuni e spesso vengono aperte senza sospetti. In questo articolo, esploreremo come funziona PNGPlug, come riconoscerlo e come difendersi da questo tipo di attacco.

Come funziona PNGPlug

PNGPlug è un malware che si nasconde all’interno di immagini PNG. Queste immagini appaiono normali e non suscitano alcun sospetto, ma in realtà contengono codice malevolo. Una volta che l’immagine viene aperta, il malware viene eseguito e può causare danni significativi al sistema.

Il processo di esecuzione del malware è complesso e include diverse fasi. Inizialmente, l’immagine PNG viene aperta e il malware viene caricato in memoria. Successivamente, il malware esegue una serie di azioni per evitare di essere rilevato dalle tecnologie di sicurezza. Ad esempio, può utilizzare tecniche di steganografia per nascondere i dati malevoli all’interno dei pixel dell’immagine[2][5].

Esempi di attacchi con PNGPlug

Un esempio recente di attacco con PNGPlug è stato documentato da Intezer Labs. In questo caso, il malware utilizzato è stato denominato ValleyRAT, attribuito al gruppo Silver Fox APT. L’attacco ha coinvolto organizzazioni in Cina, Hong Kong e Taiwan[1].

L’attacco ha iniziato con una pagina web di phishing che invitava i destinatari a scaricare un pacchetto MSI (Microsoft Installer) apparentemente legittimo. Una volta eseguito, il pacchetto MSI ha eseguito due compiti critici:

• Deploying a benign application: Per mantenere l’illusione di legittimità.
• Extracting an encrypted archive: Contenente il payload del malware.

Il pacchetto MSI ha utilizzato la caratteristica CustomAction del Windows Installer per eseguire codice malevolo, incluso un DLL embedded che ha decrittografato l’archivio (all.zip) utilizzando una password hardcoded (hello202411). L’archivio conteneva il loader PNGPlug, che aveva un peso di 220MB per evitare di essere analizzato dalle tecnologie di sicurezza[1].

Come riconoscere PNGPlug

Riconoscere PNGPlug può essere difficile, ma ci sono alcuni segnali che possono indicare la presenza di malware all’interno di un’immagine PNG:

• Dimensioni anomale: Immagini PNG con dimensioni molto grandi possono contenere malware.
• File mascherati: Immagini PNG che contengono file mascherati come .dll o .exe possono essere sospette.
• Anomalie nel codice: Utilizzare strumenti di analisi per esaminare il codice sorgente dell’immagine PNG può rivelare anomalie che indicano la presenza di malware.

Come difendersi da PNGPlug

Per difendersi da PNGPlug, è importante adottare diverse strategie di sicurezza:

• Utilizzare software antivirus avanzato: Un software antivirus efficace può rilevare e rimuovere malware nascosto in immagini PNG.
• Eseguire analisi approfondite: Utilizzare strumenti di analisi per esaminare il codice sorgente delle immagini PNG prima di aprirle.
• Formazione degli utenti: Insegnare agli utenti a riconoscere segnali di pericolo come immagini PNG con dimensioni anomale o contenenti file mascherati.
• Implementare politiche di sicurezza: Implementare politiche di sicurezza che richiedono l’autorizzazione per aprire file sospetti e utilizzare strumenti di sicurezza per monitorare il traffico di file.

Suggerimenti e consigli

1. Utilizzare strumenti di sicurezza avanzati: Strumenti come Intezer’s Threat Intelligence possono aiutare a rilevare e analizzare malware nascosto in immagini PNG.
2. Formazione continua: Assicurarsi che gli utenti siano continuamente formati sui rischi di sicurezza e come riconoscere segnali di pericolo.
3. Implementare politiche di sicurezza robuste: Politiche che richiedono l’autorizzazione per aprire file sospetti e utilizzare strumenti di sicurezza per monitorare il traffico di file possono aiutare a prevenire attacchi.
4. Utilizzare immagini sicure: Utilizzare immagini sicure e verificare l’autenticità delle immagini prima di aprirle.

PNGPlug rappresenta una minaccia significativa per la sicurezza informatica, poiché i cyberattaccanti possono nascondere malware all’interno di immagini PNG apparentemente innocenti. Riconoscere e difendersi da questo tipo di attacco richiede una combinazione di strumenti di sicurezza avanzati, formazione degli utenti e politiche di sicurezza robuste. Seguendo questi suggerimenti e consigli, è possibile ridurre il rischio di attacchi con PNGPlug e mantenere la sicurezza informatica.

Fonte: https://www.redhotcyber.com/post/pngplug-quando-il-malware-e-nascosto-dentro-immagini-innocenti