Un virus informatico nascosto in un file lo avevamo già visto, ma all’interno di un logo, invece? Forse nessuno ha mai assistito ad una situazione così tanto strana come quella che stiamo per raccontarvi: ecco la storia completa di questo malware pericoloso.
Gli esperti informatici di Symantec, a seguito di numerose ricerche, hanno scoperto che il gruppo hacker di spionaggio Witchetty, che si fa chiamare anche LookingFrog, ha nascosto un virus dentro il classico logo Windows. Per riuscirci hanno usato la cosiddetta steganografia, tecnica di cui si servono talvolta i cybercriminali per oscurare la trasmissione di un codice dannoso, in questo caso una backdoor.
È possibile che Witchetty abbia legami con un gruppo di hacker cinesi che si dice abbia l’appoggio dell’amministrazione Xi Jinping e con il gruppo TA410, che in passato ha eseguito degli attacchi specifici verso medelle società americane che operano nel settore energetico. Ma se tutto questo fosse vero, come potremmo affrontare un nemico così tanto intelligente ed imprevedibile? Indagiamo più a fondo sulla faccenda e vediamo che cosa scopriamo.
L’obiettivo a lungo termine degli hacker e la difesa migliore da adottare
La campagna di hacking degli hacker, ci fa sapere Symantec, sarebbe partita nel febbraio scorso e finora avrebbe danneggiato due governi mediorientali e il mercato borsistico di una nazione africana, la quale non è stata ancora menzionata. Avrebbero utilizzato a loro vantaggio tre vulnerabilità a Exchange ProxyShell e due a ProxyLogon per prendere il controllo di alcuni server e rubare delle credenziali di accesso allo stato attuale non dichiarate, dunque sono ancora sconosciute.
La tecnica della streganografia con la quale è stata nascosta la backdoor in un vecchio logo di Windows è servita per non farsi notare dagli utenti, ma in particolar modo dagli antivirus che sono sempre in agguato in questo caso: “Camuffare il payload ha consentito agli hacker di ospitarlo su un servizio gratuito e affidabile. È molto meno probabile che i download da host ritenuti affidabili come ad esempio GitHub alzino l’attenzione degli utenti“.
Witchetty, però, non si è limitata soltanto a questa azione, perché pare abbia usato pure un proxy apposito per far sì che la macchina difettosa agisse “da server e si connettesse a un server C&C che funge da client, invece del contrario“, assieme ad una serie di altri strumenti e tecniche molto difficili da comprendere per una persona non esperta nel settore in questione.
Ma facciamo attenzione ad un aspetto particolare, perché la domanda principale è sempre la stessa: come facciamo ad affrontare questo nemico? Il modo migliore per prevenire gli attacchi informatici è installare in continuazione gli update di sicurezza nel momento in cui vengono rilasciati, anche se pare che, per il momento, Witchetty e i gruppi hacker “affiliati” siano concentrati soltanto sulle città asiatiche e africane. Quindi siamo fuori pericolo, almeno per adesso.
