Il malware ObliqueRAT si nasconde agli occhi degli utenti e agli scanner antivirus usando la raffinata tecnica della steganografia: ecco come funziona.
Gli hacker cercano e trovano in continuazione nuove tecniche per nascondere agli occhi degli antivirus i loro malware e l’ultima scoperta fatta dai ricercatori di Cisco-Talos lo dimostrano: sta girando una nuova versione del virus ObliqueRAT che nasconde il codice pericoloso all’interno di apparentemente innocue immagini in formato .bmp ospitate su siti Web controllati dagli hacker stessi.
ObliqueRAT non è un virus nuovo: il primo avvistamento di questo “Remote Access Trojan" risale a oltre un anno fa. E’ nuova, però, la tecnica escogitata per nasconderlo e renderlo invisibile agli scanner antivirus. Questa tecnica si chiama “steganografia" e consiste nell’inserire, all’interno delle informazioni che compongono il file dell’immagine, piccoli pezzetti di informazioni che messi insieme costituiscono il codice malevolo che infetta il dispositivo. L’occhio umano non può notare la differenza tra l’immagine originale e quella con le informazioni nascoste, quindi l’utente non si accorge di nulla mentre il virus infetta il suo computer. E, soprattutto, non se ne accorgono molti antivirus.
Come funziona ObliqueRAT
La diffusione di ObliqueRAT avviene tramite siti Web hackerati: apparentemente sono innocui (e magari il legittimo titolare del sito neanche si accorge di nulla), ma al loro interno vengono caricate delle immagini modificate con la steganografia.
L’infezione inizia quando l’utente scarica sul proprio computer un documento di Microsoft Office compromesso, che di solito viene veicolato tramite la solita email di phishing. Il documento contiene delle macro, che quando vengono eseguite sul computer procedono a scaricare il file .bmp infetto.
Questo vuol dire che né il file Office, né il successivo file .bmp, vengono immediatamente individuati dai sistemi di sicurezza come pericolosi e quindi bloccati. Il primo perché non contiene alcun virus vero e proprio, il secondo perché lo contiene ma è ben nascosto. Una seconda variante di ObliqueRAT prevede il download di un file .bmp che a sua volta contiene un file .zip.
In totale le versioni di ObliqueRAT finora scoperte da Talos sono ben quattro: la prima è stata intercettata ad aprile 2020, la quarta a novembre 2020.
Perché ObliqueRAT è pericoloso
ObliqueRAT è pericoloso per il raffinato modo in cui si diffonde e perché è un RAT, un Remote Access Trojan. RATs are developed to read as much information as possible about the infected device and send it to a remote control server.
This malware would seem to be related to the actions of a group of Pakistani hackers, who mainly target Southeast Asian users. However, as it has often happened in the past, computer viruses have very blurred borders and it easily happens that they are exported to other countries as well. Therefore, it cannot be ruled out that ObliqueRAT may soon reach Europe as well.