Un virus nascosto nei .PNG elude tutti gli antivirus

Un malware nascosto nelle immagini non è sconosciuto come idea, ma non se è distribuito attraverso questo metodo innovativo.

Alcuni ricercatori hanno identificato una nuova maniera di distribuire malware questa volta nascosti nei metadati dei file .PNG, il popolare formato usato per trasferire foto e per pubblicarle online.

La maniera con cui propagare il codice malevolo è quella di offuscare i metadati dopo averci nascosto codice Javascript. A sua volta, questo processo dovrebbe scatenare un attacco iFrime injection, e cosa peggiore di tutte aggirare gli antivirus e gli altri filtri di sicurezza. Il fatto che il file sia nascosto nei metadati è al momento una contromisura sufficiente a nasconderlo da questi software, che non sono studiati per esaminare i metadati delle immagini e riconoscere la minaccia.

L’attacco è stato identificato per la prima volta da Peter Gramantik di Securi, che si è trovato di fronte un normalissimo file .PNG, un’immagine basica. I “fuochi artificiali” erano nascosti nei metadati, un piccolo codice JavaScript che creava un iFrame a -1000px, ovverosia fuori dall’area visualizzata dal browser.

L’utente non può quindi vedere nulla, ma Google e il suo browser invece sì. Questo è sufficiente a creare un intero vettore di attacco finora mai esplorato, perfetto per un attacco drive-by come quelli fatti tramite i risultati delle ricerche. Il fatto che sia inesplorato non vuol dire tuttavia che sia del tutto sconosciuto - un altro ricercatore tedesco, Mario Hederich, aveva postulato la possibilità di creare un malware nelle immagini già nel 2009.

La distribuzione tramite metadati e JavaScript, però, è un sentiero nuovo e piuttosto evoluto.

  • shares
  • Mail