Indice del forum Olimpo Informatico
I Forum di Zeus News
Leggi la newsletter gratuita - Attiva il Menu compatto
 
 FAQFAQ   CercaCerca   Lista utentiLista utenti   GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo   Messaggi privatiMessaggi privati   Log inLog in 

    Newsletter RSS Facebook Twitter Contatti Ricerca
Il malware che si nasconde nei file audio
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza
Precedente :: Successivo  
Autore Messaggio
Zeus News
Ospite





MessaggioInviato: 17 Ott 2019 21:00    Oggetto: Il malware che si nasconde nei file audio Rispondi citando

Leggi l'articolo Il malware che si nasconde nei file audio
Sembra un file innocuo, invece nasconde un generatore di criptovalute.


 

 

Segnala un refuso
Top
{ocean21}
Ospite





MessaggioInviato: 17 Ott 2019 23:06    Oggetto: Rispondi citando

Ho letto la fonte originale, ma mi sembra che non basti il file audio o l'immagine per essere infettati. Serve un loader, quindi un programma eseguibile, che dal file audio sia in grado di estrarre il contenuto malevolo. Quindi la cosa può funzionare, se non ho capito male, solo su computer già compromessi.
Top
jack.mauro
Semidio
Semidio


Registrato: 07/02/15 16:44
Messaggi: 237

MessaggioInviato: 18 Ott 2019 00:12    Oggetto: Rispondi citando

Leggendo anche altre fonti penso di aver capito come funziona l'"attacco".

Un loader (exe? js?) e un WAV vengono scaricari.
Il loader al suo interno non contiene codice malevolo (o meglio, codice che venga ritenuto malevolo dagli antivirus), ma solo il codice steganografico per estrarre dal wav le informazioni in esso inserite.
Il WAV contiene musica e, steganografato al suo interno, il codice malevolo, che non viene rilevato dall'antivirus.

A questo punto il loader può estrarre il codice malevolo dal Wav ed eseguirlo, magari senza passare dal disco, evitando di essere quindi intercettato dall'antivirus.

In pratica senza il loader (exe o javascript che sia), il file WAV non infetterà nessuno se suonato in qualsiasi player, su qualsiasi sistema operativo.

Se qualcuno ha capito qualcosa di più me lo faccia sapere.....
Top
Profilo Invia messaggio privato
colemar
Semidio
Semidio


Registrato: 17/08/10 23:44
Messaggi: 368

MessaggioInviato: 18 Ott 2019 01:13    Oggetto: Rispondi citando

@jack.mauro

Capito, quindi se gli antivirus hanno la firma di un certo file audio non saranno in grado di intercettare lo stesso codice malevolo se è steganografato in un audio diverso. Praticamente basta usare un audio diverso ogni volta che si inizia l'attacco.

Però il loader probabilmente è sempre lo stesso (di solito i virus e i malware sono statici), quindi l'antivirus può intercettare quello.
Top
Profilo Invia messaggio privato
{Paolo}
Ospite





MessaggioInviato: 18 Ott 2019 01:18    Oggetto: Rispondi citando

Non uso files audio NON FREE SOFTWARE! USO SOLO FILES AUDIO CHE HANNO CODEC FREE SOFTWARE, PROPRIO PER EVITARE SIMIL PROBLEMI.

IO USO: *.FLAC, *.OGG

CONTINUATE COSÌ, FATEVI DEL MALE

DISTINTI SALUTI,

PAOLO DEL BENE
Top
{Beppec3}
Ospite





MessaggioInviato: 18 Ott 2019 08:28    Oggetto: Rispondi citando

Se è vero che ora usano i bit non significativi dello header tcp/IP il malware può essere attivo su qualsiasi file scaricato, non solo i multimediali
Top
{utente anonimo}
Ospite





MessaggioInviato: 18 Ott 2019 09:17    Oggetto: Rispondi citando

Non ho capito bene, forse hanno ragione le persone che hanno commentato prima di me, se eseguo un waw il lettore non è in grado di lanciare un eseguibile e tanto meno di estrarre un file stenografato all'interno di un altro ma occorre per forza un'altro programma. Pertanto vale la solita regola di non lanciare programmi sconosciuti e non si corre alcun rischio?
Top
{utente anonimo}
Ospite





MessaggioInviato: 18 Ott 2019 09:17    Oggetto: Rispondi citando

Non ho capito bene, forse hanno ragione le persone che hanno commentato prima di me, se eseguo un waw il lettore non è in grado di lanciare un eseguibile e tanto meno di estrarre un file stenografato all'interno di un altro ma occorre per forza un'altro programma. Pertanto vale la solita regola di non lanciare programmi sconosciuti e non si corre alcun rischio?
Top
zero
Dio maturo
Dio maturo


Registrato: 22/03/08 17:34
Messaggi: 1216

MessaggioInviato: 18 Ott 2019 10:47    Oggetto: Rispondi citando

Citazione:
diffidare di qualsiasi file provenga da fonti che non siano più che sicure

e tra le fonti sicure, NON vanno sicuramente messi gli amici
Top
Profilo Invia messaggio privato
Undertaker
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 25/02/14 16:00
Messaggi: 118

MessaggioInviato: 18 Ott 2019 12:39    Oggetto: Rispondi citando

Ma cosa ho letto??
L'articolo parla di malware nascosto con la steganografia, ma quello è solo un sistema per nascondere un file entro un altro, non un exploit. Acoltando un file wav con malware nascosto dentro non si installa un bel niente, lo scopo della steganografia non è quello! Laughing
Top
Profilo Invia messaggio privato
Undertaker
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 25/02/14 16:00
Messaggi: 118

MessaggioInviato: 18 Ott 2019 12:41    Oggetto: Rispondi citando

{Paolo} ha scritto:
Non uso files audio NON FREE SOFTWARE! USO SOLO FILES AUDIO CHE HANNO CODEC FREE SOFTWARE, PROPRIO PER EVITARE SIMIL PROBLEMI.
IO USO: *.FLAC, *.OGG
CONTINUATE COSÌ, FATEVI DEL MALE
DISTINTI SALUTI,

i files wav sono free
e tu non hai capito un cavolo di cosa parla l'articolo
Top
Profilo Invia messaggio privato
amldc
Dio maturo
Dio maturo


Registrato: 02/05/06 16:21
Messaggi: 1279

MessaggioInviato: 18 Ott 2019 13:21    Oggetto: Rispondi citando

{Paolo} ha scritto:
Non uso files audio NON FREE SOFTWARE! USO SOLO FILES AUDIO CHE HANNO CODEC FREE SOFTWARE, PROPRIO PER EVITARE SIMIL PROBLEMI.

IO USO: *.FLAC, *.OGG

CONTINUATE COSÌ, FATEVI DEL MALE

DISTINTI SALUTI,

PAOLO DEL BENE


    la steganografia può essere utilizzata indipendentemente dal formato utlizzato
    I file audio non sono software ma dati e possono essere riprodotti da software proprietario
    Se il giochino viene fatto sfruttando un js che estrae ed esegue o inietta il malware, il js può anche essere free ma ti frega ugualmente.

Detto ciò, come te la cavi con le visite a siti che utilizzano immagini in formato proprietari ? Hai dei filtri nel browser per impedire che scarichi e visializzi immagini con formati non free ?
P.s.
Credo che, come me, molti frequentatori del forum ti saranno grati se in futuri post ti attenessi alla semplice norma di netiquette che invita ad evitate l'abuso delle maiuscole.
Top
Profilo Invia messaggio privato
vac
Comune mortale *
Comune mortale *


Registrato: 25/09/09 11:37
Messaggi: 287

MessaggioInviato: 19 Ott 2019 07:15    Oggetto: Rispondi citando

jack.mauro ha scritto:
.....


Grazie!
Infatti come descritto dall'articolo mi pareva impossibile.
Ancora una volta è un problema per chi usa windows e software scaricato a caso.
Top
Profilo Invia messaggio privato HomePage
ok_cian
Eroe in grazia degli dei
Eroe in grazia degli dei


Registrato: 11/08/15 17:28
Messaggi: 197

MessaggioInviato: 19 Ott 2019 14:53    Oggetto: Rispondi citando

Se un lettore audio interpreta un file WAV invece riprodurre quello che c'è dentro, basta sostituirlo.

Se ci sono dati spuri dentro il WAV l'unico effetto dovrebbe essere un certo disturbo nel segnale audio.
Top
Profilo Invia messaggio privato
jack.mauro
Semidio
Semidio


Registrato: 07/02/15 16:44
Messaggi: 237

MessaggioInviato: 19 Ott 2019 19:27    Oggetto: Rispondi citando

vac ha scritto:
Ancora una volta è un problema per chi usa windows e software scaricato a caso.


Occhio, il loader non ho letto da nessuna parte che sia "un eseguibile", quindi ho ipotizzato che la tecnica potrebbe funzionare anche utilizzando un loader JS, javascript, direttamente all'interno di una pagina web, che utilizzando i dati all'interno del wav potrebbe minare criptomonete per tutto il tempo in cui un frame nascosto resta attivo in una pagina...

Non so *questo* malware come funziona, ma teoricamente è possibile, e così facendo potrebbe bypassare i controlli degli antivirus e anche i controlli degli antivirus aziendali installati sui proxy.
Top
Profilo Invia messaggio privato
vac
Comune mortale *
Comune mortale *


Registrato: 25/09/09 11:37
Messaggi: 287

MessaggioInviato: 19 Ott 2019 21:58    Oggetto: Rispondi citando

Un JS che gira all'interno di un browser non dovrebbe avere accesso al file system.
A meno che per browser non intendi qualche vecchia versione di I.E.
Top
Profilo Invia messaggio privato HomePage
jack.mauro
Semidio
Semidio


Registrato: 07/02/15 16:44
Messaggi: 237

MessaggioInviato: 20 Ott 2019 14:27    Oggetto: Rispondi citando

vac ha scritto:
Un JS che gira all'interno di un browser non dovrebbe avere accesso al file system.


Vero, ma un js aperto in un popunder di dimensione minima, magari ridotto ad icona può comunque scaricare il wav, estrarre il contenuto steganografato all'interno ed eseguirlo. Questo contenuto può essere un altro js che non è stato controllato dall'antivirus e che utilizza la cpu [e quindi l'elettricità] della vittima per minare bitcoin o altra criptomoneta, i cui proventi andranno al gestore della pagina web. Il gioco può continuare per tutto il tempo in cui resta aperta questa finestra del browser, e se lo script venisse iniettato da un banner pubblicitario visualizzato su diversi siti che la gente frequenta quotidianamente, il gioco è fatto, e vale per tutti i browser grafici su tutti i sistemi operativi...

(poi ripeto, si tratta di supposizioni perché di informazioni effettive non ne ho...)
Top
Profilo Invia messaggio privato
{Paolo}
Ospite





MessaggioInviato: 22 Ott 2019 13:22    Oggetto: Rispondi citando

Ma evitare di render attivo *.js sul browser troppa cosa usare IceCatMobile senza js?

Paolo Del Bene
Top
Gladiator
Dio maturo
Dio maturo


Registrato: 05/12/10 20:32
Messaggi: 9089
Residenza: Purtroppo o per fortuna Italia

MessaggioInviato: 25 Ott 2019 18:04    Oggetto: Rispondi citando

zero ha scritto:
Citazione:
diffidare di qualsiasi file provenga da fonti che non siano più che sicure

e tra le fonti sicure, NON vanno sicuramente messi gli amici

ola
Top
Profilo Invia messaggio privato
{Paolo}
Ospite





MessaggioInviato: 06 Nov 2019 14:11    Oggetto: - Rispondi

Commento fuori tema o non conforme al regolamento del forum.
Top
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Sicurezza Tutti i fusi orari sono GMT + 1 ora
Vai a 1, 2  Successivo
Pagina 1 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi