Il malware GHOSTPULSE si nasconde nei pixel delle immagini PNG

Il malware GHOSTPULSE ha recentemente attirato l’attenzione degli esperti di sicurezza informatica per la sua capacità di nascondersi all’interno dei pixel delle immagini PNG. Questa tecnica di steganografia digitale rende il malware particolarmente difficile da rilevare e rappresenta una minaccia significativa per la sicurezza dei sistemi informatici.

Evoluzione del malware

GHOSTPULSE è stato scoperto per la prima volta nel 2023 e da allora ha subito diverse evoluzioni per migliorare la sua capacità di eludere i sistemi di rilevamento. Inizialmente, il malware nascondeva il suo payload dannoso nel chunk IDAT dei file PNG. Tuttavia, la versione più recente ha introdotto una tecnica di occultamento a livello di pixel, che incorpora i dati malevoli direttamente nella struttura dell’immagine.

Tecniche di ingegneria sociale

Oltre alle sue capacità tecniche avanzate, gli attaccanti che usano GHOSTPULSE utilizzano anche sofisticate tecniche di ingegneria sociale per ingannare le vittime. Una delle tattiche più recenti prevede l’uso di CAPTCHA falsi per indurre gli utenti a eseguire comandi dannosi. Questo approccio, utilizzato anche per diffondere Lumma Stealer, aumenta significativamente l’efficacia del malware, poiché le vittime possono non considerare illegittimo un CAPTCHA.

Funzionamento dell’ultima istanza del malware

Il malware funziona estraendo i valori RGB (rosso, verde e blu) di ciascun pixel dell’immagine PNG utilizzando le API standard di Windows della libreria GdiPlus (GDI+). Una volta costruito l’array di byte, il malware cerca l’inizio di una struttura che contiene la configurazione crittografata di GHOSTPULSE, compresa la chiave XOR necessaria per la decodifica.

Lo fa eseguendo un ciclo nell’array di byte in blocchi da 16 byte. Per ogni blocco, i primi 4 byte rappresentano un hash CRC32 e i successivi 12 byte sono i dati da sottoporre a hash. Il malware calcola il CRC32 dei 12 byte e verifica se corrisponde all’hash. Se viene trovata una corrispondenza, estrae l’offset della configurazione GHOSTPULSE crittografata, la sua dimensione e la chiave XOR da 4 byte, quindi esegue la decrittografia XOR”, spiega il rapporto di Elastic Security Labs, secondo la seguente schematizzazione.

Fonte Elastic Security Labs

Implicazioni

GHOSTPULSE rappresenta un esempio di come i cyber criminali stiano continuamente evolvendo le loro tecniche per eludere i sistemi di sicurezza. La combinazione di tecniche di occultamento avanzate e ingegneria sociale rende questo malware particolarmente insidioso. È essenziale che gli utenti e le organizzazioni adottino misure adeguate per proteggersi da queste minacce emergenti.

Poichè la capacità di GHOSTPULSE di nascondersi nei pixel delle immagini PNG rappresenta una sfida significativa per i sistemi di rilevamento tradizionali. Gli esperti di sicurezza raccomandano di prestare particolare attenzione ai file PNG provenienti da fonti non verificate e di utilizzare strumenti di rilevamento avanzati che possano analizzare i contenuti delle immagini a livello di pixel.

Su Salvatore Lombardo 323 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.