Libero
SICUREZZA INFORMATICA

ObliqueRAT, basta scaricare un'immagine per prendersi un virus

Il malware ObliqueRAT si nasconde agli occhi degli utenti e agli scanner antivirus usando la raffinata tecnica della steganografia: ecco come funziona.

malware steganografia Fonte foto: local_doctor - stock.adobe.com

Gli hacker cercano e trovano in continuazione nuove tecniche per nascondere agli occhi degli antivirus i loro malware e l’ultima scoperta fatta dai ricercatori di Cisco-Talos lo dimostrano: sta girando una nuova versione del virus ObliqueRAT che nasconde il codice pericoloso all’interno di apparentemente innocue immagini in formato .bmp ospitate su siti Web controllati dagli hacker stessi.

ObliqueRAT non è un virus nuovo: il primo avvistamento di questo “Remote Access Trojan” risale a oltre un anno fa. E’ nuova, però, la tecnica escogitata per nasconderlo e renderlo invisibile agli scanner antivirus. Questa tecnica si chiama “steganografia” e consiste nell’inserire, all’interno delle informazioni che compongono il file dell’immagine, piccoli pezzetti di informazioni che messi insieme costituiscono il codice malevolo che infetta il dispositivo. L’occhio umano non può notare la differenza tra l’immagine originale e quella con le informazioni nascoste, quindi l’utente non si accorge di nulla mentre il virus infetta il suo computer. E, soprattutto, non se ne accorgono molti antivirus.

Come funziona ObliqueRAT

La diffusione di ObliqueRAT avviene tramite siti Web hackerati: apparentemente sono innocui (e magari il legittimo titolare del sito neanche si accorge di nulla), ma al loro interno vengono caricate delle immagini modificate con la steganografia.

L’infezione inizia quando l’utente scarica sul proprio computer un documento di Microsoft Office compromesso, che di solito viene veicolato tramite la solita email di phishing. Il documento contiene delle macro, che quando vengono eseguite sul computer procedono a scaricare il file .bmp infetto.

Questo vuol dire che né il file Office, né il successivo file .bmp, vengono immediatamente individuati dai sistemi di sicurezza come pericolosi e quindi bloccati. Il primo perché non contiene alcun virus vero e proprio, il secondo perché lo contiene ma è ben nascosto. Una seconda variante di ObliqueRAT prevede il download di un file .bmp che a sua volta contiene un file .zip.

In totale le versioni di ObliqueRAT finora scoperte da Talos sono ben quattro: la prima è stata intercettata ad aprile 2020, la quarta a novembre 2020.

Perché ObliqueRAT è pericoloso

ObliqueRAT è pericoloso per il raffinato modo in cui si diffonde e perché è un RAT, un Remote Access Trojan. I RAT vengono sviluppati per leggere più informazioni possibili sul dispositivo infetto e inviarle ad un server di controllo remoto.

Questo malware sembrerebbe legato all’azione di un gruppo di hacker pachistani, che colpiscono soprattutto utenti del sud-est asiatico. Tuttavia, come è spesso successo in passato, i virus informatici hanno confini molto labili e capita facilmente che vengano esportati anche in altri Paesi. Non è da escludere, quindi, che ObliqueRAT possa arrivare a breve anche in Europa.