Quando il Malware si Nasconde nei Video! La Tecnica PixelCode Smonta le Regole

PixelCode nasce come progetto di ricerca che esplora una tecnica nascosta per archiviare dati binari all’interno di immagini o video. Invece di lasciare un eseguibile in chiaro, il file viene convertito in dati pixel, trasformando ogni byte in una struttura di colore. La tecnica cambia completamente il modo in cui consideriamo file grafici e video, mostrandoli come potenziali vettori di dati binari senza esporne il contenuto reale.

Il concetto alla base è semplice nella sua idea, ma complesso nella realizzazione: convertire un programma eseguibile in una mappa visiva.

Questo “codice pixel” può poi essere memorizzato dentro un’immagine o un video, rendendolo apparentemente innocuo agli occhi di strumenti di scansione tradizionali che non analizzano il contenuto visivo alla ricerca di dati eseguibili.

Come funziona la tecnica

Il progetto documenta un processo in più fasi. La prima prevede un payload in C++ progettato per comunicazioni di comando e controllo, compilato in un eseguibile standard. Questo eseguibile non viene distribuito così com’è, ma convertito in un video MP4 mediante uno strumento Python dedicato.

Una volta generato il video con il “Pixel Code”, esso può essere caricato su piattaforme pubbliche come servizi di condivisione video. La playlist ospita così un file apparentemente innocuo, un video qualsiasi, che in realtà contiene dati binari pronti a essere estratti.

Il passo successivo utilizza un loader C++ che include l’URL del video. Questo loader, quando avviato su un sistema, scarica il video e chiama un piccolo stager Python, anche esso incorporato nel loader, per riconvertire i pixel nei byte originali.

Implicazioni e riflessioni

Questa tecnica apre scenari insoliti: file multimediali caricati su servizi fidati possono servire a trasportare dati che sfuggono a filtri di sicurezza tradizionali, che tendono a concentrarsi su EXE o script espliciti. L’idea sottostante è che i video non siano soggetti alle stesse scansioni rigorose di file binari.

L’esecuzione in memoria del payload ricostruito evita la scrittura su disco di file potenzialmente sospetti, complicando l’individuazione e la rimozione tramite antivirus o sistemi di rilevamento comportamento.

Questo progetto non è un attacco reale ma una dimostrazione di ricerca e consapevolezza, usata per evidenziare come tecniche non convenzionali possano essere sfruttate per la consegna di codice.

Verso la fine del documento, gli autori sottolineano che la tecnica è solo per scopi educativi e di ricerca, e non devono essere usati in modi che violano leggi – e qui si inquadra S3N4T0R-0X0/Malicious-PixelCode come esempio di ricerca avanzata.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Marcello Filacchioni

ICT CISO e Cyber Security Manager con oltre vent’anni di esperienza tra settore pubblico e privato, ha guidato progetti di sicurezza informatica per realtà di primo piano. Specializzato in risk management, governance e trasformazione digitale, ha collaborato con vendor internazionali e startup innovative, contribuendo all’introduzione di soluzioni di cybersecurity avanzate. Possiede numerose certificazioni (CISM, CRISC, CISA, PMP, ITIL, CEH, Cisco, Microsoft, VMware) e svolge attività di docenza pro bono in ambito Cyber Security, unendo passione per l’innovazione tecnologica e impegno nella diffusione della cultura della sicurezza digitale.

Aree di competenza: Cyber Security Strategy & Governance, Vulnerability Management & Security Operations.