Chi ha un minimo di dimestichezza con l'Informatica è abituato a temere i file .exe perchè eseguibili non identificati nella maggior parte dei casi sono malware ma tendiamo a trattare le immagini come sfondi digitali: innocue e sicure. Purtroppo, è proprio su questa fiducia che si basa un nuovo tipo di attacco che poi tanto nuovo non è, è stato solo perfezionato. Una nuova ondata di attacchi, recentemente soprannominata "Operazione SilentCanvas", sta dimostrando che le immagini JPEG vengono utilizzate per diffondere anche malware. Gli aggressori utilizzano un file immagine apparentemente innocuo per introdurre di nascosto una versione infetta di "ScreenConnect". Se non ne avete mai sentito parlare, ScreenConnect è un tool legittimo per controllare e riparare i computer da remoto.
COME SI VIENE INFETTATI
Come fa una semplice immagine a prendere il controllo del computer? Il segreto sta in una tecnica chiamata Steganografia. Storicamente, la Steganografia veniva utilizzata per nascondere messaggi (payload eseguiti senza lasciare il file .exe, scaricare configurazioni, comunicare con server, evitare rivelamenti di antivirus) in altri files, ma nel 2026 è stata potenziata per il cybercrimine. Oggi viene utilizzata anche per nascondere codice dannoso all'interno dei pixel di un file immagine senza alterarne l'aspetto all'occhio umano. Questo permette al file di eludere molti filtri di sicurezza tradizionali perché, per l'antivirus, appare come un normale e innocua JPEG.
Quando un utente interagisce con il file (spesso dopo essere stato ingannato da un'email di phishing estremamente realistica), viene attivato uno script nascosto (PowerShell), che si connette a un server controllato dall'attaccante. Questo script scarica e installa il software ScreenConnect infetto da Trojan. Poiché questo malware utilizza come base un'applicazione legittima e firmata digitalmente (ScreenConnect), spesso può nascondersi nel Task Manager, rendendo estremamente difficile per i sistemi di rilevamento standard individuarlo. Una volta installato questo strumento di accesso remoto, gli hacker possono monitorare/controllare il vostro schermo, rubare le vostre password (installando anche keylogger che salvano tutto quello che viene digitato sulla tastiera), seed, documenti, prendere screenshot, infettare il browser o persino utilizzare il vostro computer per lanciare attacchi informatici. Va comunque sottolineato che un’immagine da sola normalmente non "esegue malware" semplicemente aprendola. Di solito è necessario un malware già presente nel computer (o un exploit su librerie Windows o bug su programmi non aggiornati) che sa leggere il payload steganografico. Ricorda di non eseguire mai allegati .exe/.scr/.js/.vbs (mascherati come aggiornamenti) perchè sono il vettore alla compromissione del sistema quindi all'esecuzione di immagini steganografiche (difficilmente rivelabili poi dagli antivirus).
IL RUOLO DELL'INTELLIGENZA ARTIFICIALE
Ad oggi il problema di attacchi di questo tipo è che sono diventati "polimorfici". In passato, le aziende di sicurezza potevano creare un'impronta digitale per un malware permettendo l'identificazione mediante antivirus. Ma ora l'IA può riscrivere il codice del malware al volo, garantendo che ogni singola vittima riceva una versione leggermente diversa del virus. Questo rende gli antivirus basati sulle firme praticamente inutili. L'intelligenza artificiale viene utilizzata anche per perfezionare la fase di invio di questi attacchi. Stiamo assistendo all'impiego di strumenti basati sull'IA per creare campagne di phishing personalizzate, indistinguibili da vere email provenienti dalla banca, da amici o familiari. Immaginate di ricevere un'email che rispecchia perfettamente lo stile di scrittura di un vostro collega, che fa riferimento a un progetto a cui avete lavorato ieri e che vi chiede di dare un'occhiata a questo screenshot. Un livello di ingegneria sociale simile è difficile da bloccare, se non si conoscono queste tecniche. Inoltre, i modelli generativi vengono addestrati specificamente per individuare le vulnerabilità zero-day (falle di sicurezza di cui nessuno è ancora a conoscenza) e sfruttarle automaticamente. Per limitare questo tipo di problemi, bisogna iniziare ad adottare una mentalità di "zero trust". Questo significa presumere che qualsiasi file, per quanto innocuo possa sembrare o da chi sembra provenire, possa rappresentare una minaccia. Infine, va valutato l'utilizzo di strumenti di sicurezza specifici che analizzino il comportamento degli utenti anziché limitarsi a identificare i tipi di file. Poiché i malware basati sull'intelligenza artificiale cambiano costantemente aspetto, è necessario un sistema in grado di rilevare quando una foto inizia improvvisamente a tentare di eseguire script amministrativi o a connettersi a server sconosciuti in un altro Paese.
Nessun commento:
Posta un commento