I ricercatori di Symantec hanno scoperto che il gruppo hacker di spionaggio Witchetty, alias LookingFrog, ha nascosto un malware dentro il classico logo Windows. Hanno utilizzato la cosiddetta steganografia, tecnica di cui si servono talvolta gli hacker per oscurare la trasmissione di codice dannoso, in questo caso una backdoor. Si ritiene che Witchetty abbia legami con un gruppo di hacker cinesi che si dice abbia l’appoggio dell’amministrazione Xi Jinping, e con il gruppo TA410 che in passato ha attaccato alcune aziende USA che operano nel settore energetico.

La campagna degli hacker, spiega Symantec, sarebbe partita nel febbraio scorso e finora avrebbe danneggiato due governi mediorientali e il mercato borsistico di una nazione africana che non è stata menzionata. Avrebbero utilizzato a loro vantaggio tre vulnerabilità a Exchange ProxyShell e due a ProxyLogon per prendere il controllo di alcuni server e rubare credenziali di accesso. La tecnica della streganografia con cui è stata nascosta la backdoor in un vecchio logo di Windows (sembra Windows 7, a fianco l’immagine di Symantec) è servita sia per non farsi notare dagli utenti ma soprattutto dagli antivirus.

Camuffare il payload ha consentito agli hacker di ospitarlo su un servizio gratuito e affidabile – spiega Symantec nel suo rapporto. È molto meno probabile che i download da host ritenuti affidabili come ad esempio GitHub alzino l’attenzione degli utenti.

Witchetty ha utilizzato anche un proxy ad hoc per far sì che la macchina “contagiata” agisse “da server e si connettesse a un server C&C che funge da client, invece del contrario” e una serie di altri strumenti e tecniche che trovate descritti in dettaglio nel link in FONTE. Il modo migliore per prevenire questo genere di attacchi è installare tempestivamente gli aggiornamenti di sicurezza nel momento in cui vengono rilasciati, anche se pare che, per il momento, Witchetty e i gruppi hacker “affiliati” siano concentrati su Asia e Africa. Ma il consiglio è sempre valido.