I ricercatori di Positive Technologies hanno rilevato una serie di attacchi che sfruttano la steganografia per nascondere codice infetto nelle immagini. L’obiettivo è installare malware di vario tipo (spyware, info-stealer, RAT e altri) senza attirare l’attenzione delle ignare vittime, aggirando anche gli antivirus. La campagna è stata denominata SteganoAmor perché i cybercriminali hanno scelto nomi contenenti la parola “amore” (love) per i documenti.
Phishing e steganografia
La catena di infezione inizia con l’invio di una email di phishing. In allegato ci sono documenti Word o Excel apparentemente innocui che sfruttano la vulnerabilità CVE-2017-11882 presente in Equation Editor. Le email sono inviate tramite server SMTP compromessi, quindi non vengono bloccate essendo domini legittimi.
Quando l’ignara vittima apre il documento viene scaricato ed eseguito uno script VBS che preleva un’immagine JPG contenente il payload cifrato con Base64. Viene quindi scaricato uno script PowerShell che decifra il payload nascosto nell’immagine e preleva il payload finale, ovvero l’eseguibile del malware.
Gli esperti di Positive Technologies hanno individuato diverse varianti dell’attacco per un totale di oltre 320. I cybercriminali tentano di installare sul computer vari malware, tra cui AgentTesla (spyware), Remcos (RAT), XWorm (RAT), LokiBot (info-stealer), Guloader (downloader), Formbook (info-stealer) e SnakeKeylogger (keylogger). L’obiettivo è quindi rubare dati sensibili e prendere il controllo del computer.
Payload e script sono spesso ospitati su servizi cloud legittimi, come Google Drive. I dati rubati vengono inviati a server FTP compromessi. Gli attacchi non dovrebbero causare danni agli utenti che usano le versioni più recenti delle applicazioni Office.