Il malware Ghostpulse adesso recupera il suo payload principale attraverso i pixel di un file immagine PNG. Secondo gli esperti di sicurezza, questa evoluzione rappresenta “uno dei cambiamenti più significativi” apportati dai malintenzionati dopo il lancio nel 2023.
“Conosciuto anche come IDAT Loader o HijackLoader, è una tipologia di malware che è stata scoperta a partire dalla seconda metà del 2023 ma sta velocemente prendendo piede tra gli ambienti di Malware-as-a-Service, data la sua elevata complessità”, commenta Carmelo Ragusa, Threat Research Specialist di Tinexta Cyber.
Ecco come difendersi dal malware loader che si abbina a un’altrettanto insidiosa opera di ingegneria sociale.
Indice degli argomenti
Ghostpulse: il malware loader che si cela nelle immagini Png
Il formato di file immagine Png è molto popolare per la grafica web e spesso è preferibile a un file JPG perché non ha perdita di dati e conserva dettagli chiave come i contorni del testo.
Salim Bitam di Elastic Security Labs ha osservato che Ghostpulse compare spesso nelle campagne come loader per tipi di malware più pericolosi, come l‘infostealer Lumma. Inoltre, l’ultima modifica lo rende ancora più difficile da rilevare.
“Si tratta, infatti, di un loader, ossia una tipologia di malware in grado di iniettare all’interno del computer della vittima altri malware, come per esempio Lumma, un famoso Infostealer”, conferma Ragusa.
Anche le versioni precedenti di Ghostpulse eludevano le rilevazioni e sfruttavano metodi subdoli come la possibilità di nascondere i payload nel chunk IDAT di un file PNG. Tuttavia, ora è in grado di analizzare i pixel dell’immagine, incorporando i dati malevoli nella struttura.
Inoltre, “questa campagna analizzata dai ricercatori di Elastic mostra come l’attaccante stia sempre più investendo nel social engineering”, evidenzia Ragusa, “simulando addirittura un Captcha, strumento che gli utenti di internet conoscono per poter accedere a servizi online”.
I dettagli
“Il malware costruisce un array di byte estraendo i valori RGB (rosso, verde e blu) di ciascun pixel in modo sequenziale utilizzando le API standard di Windows della libreria GdiPlus (GDI+)”, ha dichiarato Bitam. “Una volta costruito l’array di byte, il malware cerca l’inizio di una struttura che contiene la configurazione crittografata di Ghostpulse, compresa la chiave XOR necessaria per la decodifica”.
“A tal fine, il malware esegue un ciclo di 16 blocchi di byte all’interno dell’array di byte. Per ogni blocco, i primi quattro byte rappresentano un hash CRC32 e i 12 byte successivi sono i dati da sottoporre a hash. Il malware calcola il CRC32 dei 12 byte e verifica se corrisponde all’hash. Se viene trovata una corrispondenza, estrae l’offset della configurazione crittografata di Ghostpulse, la sua dimensione e la chiave XOR di quattro byte, quindi la decifra con XOR”, continua Bitam.
Ghostpulse non è il primo malware a nascondere i propri file dannosi all’interno di pixel. Tuttavia, la scoperta dimostra l’astuzia dimostrata costantemente da chi si nasconde dietro di esso.
“Un elemento chiave è, infatti, il cambiamento nella modalità di recupero della configurazione e dello stage successivo. Se prima il malware estraeva metadati da un file PNG, ora nasconde queste informazioni direttamente nei pixel dell’immagine, rendendo l’analisi più complessa, tramite sofisticate tecniche di steganografia“, mette in guardia il Threat Research Specialist di Tinexta Cyber.
Il social engineering
La tecnica va di pari passo con le tecniche di social engineering che si usano per scaricare il file. Secondo Bitam, le vittime vengono indotte a visitare un sito Web controllato dall’aggressore e a convalidare quello che sembra essere un CAPTCHA di routine.
Tuttavia, invece di selezionare una casella o una serie di immagini che corrispondono a un prompt, alle vittime vengono inviate istruzioni per inserire specifiche scorciatoie da tastiera che copiano il codice JavaScript malevolo negli appunti dell’utente.
Da qui, segue l’esecuzione di uno script PowerShell che scarica ed esegue il payload di Ghostpulse.
Come proteggersi
McAfee ha recentemente individuato lo stesso metodo utilizzato per eliminare Lumma, senza fare riferimento al coinvolgimento di Ghostpulse. I suoi ricercatori hanno notato che gli utenti di GitHub sono finiti nel mirino in modo specifico tramite mail che chiedevano loro di risolvere una vulnerabilità di sicurezza inesistente.
“È necessario, dunque, far conoscere questa tipologia di attacco di social engineering alle persone”, conclude Carmelo Ragusa, “perché anche delle attività che ormai sono diventate la prassi nella navigazione di internet, come la risoluzione di un Captcha, può rivelarsi una seria minaccia predisposta dagli attaccanti.”
La prima arma di difesa è, infatti, la consapevolezza. Il social engineering sfrutta il punto debole, il fattore umano. Per evitare di cadere vittime di quersti tranelli, occorre essere vigili. Le simulazioni di attacchi, anche attraverso mail di phishing e finti Captcha, aiutano a rafforzare la consapevolezza.
Il livello di sofisticazione è infatti di gran lunga superiore a quello che i cyber criminali dietro Ghostpulse hanno testimoniato nelle prime versioni. Esse si basavano sul download da parte delle vittime di eseguibili malevoli. a seguito di avvelenamenti SEO o attività di malvertising.
Grazie a queste tecniche, il malware riesce ad eludere i semplici metodi di scansione del malware basati sui file. E, data la diffusione di Lumma tra i criminali informatici, è bene assicurarsi che le difese siano pronte a bloccarlo.
