PNGPlug: Quando il Malware è nascosto dentro immagini innocenti

I ricercatori di Intezer Labs hanno identificato una serie di attacchi informatici contro organizzazioni nelle regioni di lingua cinese, tra cui Hong Kong, Taiwan e la Cina continentale. Questi attacchi utilizzano il downloader multifase PNGPlug per diffondere il malware ValleyRAT.

L’attacco inizia con una pagina di phishing che convince la vittima a scaricare un file MSI dannoso mascherato da software legittimo. Una volta avviato, questo file esegue due compiti: installa un’applicazione innocua per creare l’illusione di legittimità ed estrae un archivio crittografato contenente componenti dannosi.

Il file MSI utilizza la funzionalità CustomAction di Windows Installer per eseguire codice dannoso. L’archivio crittografato “all.zip” viene decrittografato utilizzando la password integrata “hello202411“. I componenti principali includono “libcef.dll” (il downloader), “down.exe” (l’applicazione legittima) e i file “aut.png” e “view.png“, che sono mascherati da immagini ma contengono dati dannosi.

Il compito del caricatore “libcef.dll” è preparare un ambiente per l’esecuzione del malware. Apporta modifiche al file di sistema “ntdll.dll” per inserire i dati in memoria e analizzare i parametri della riga di comando. Se viene rilevato il parametro /aut, il boot loader estrae il percorso del file down.exe, lo scrive nel registro ed esegue il codice dal file aut.png. Altrimenti viene eseguito il file “view.png” e il suo contenuto viene inserito nel processo “colorcpl.exe”.

ValleyRAT, distribuito utilizzando PNGPlug, è un malware sofisticato attribuito al gruppo Silver Fox. Questo strumento include meccanismi di esecuzione multilivello come l’esecuzione di shellcode in memoria, l’esecuzione privilegiata e la presenza persistente nel sistema tramite il registro e le attività di pianificazione.

L’analisi mostra che gli attacchi utilizzano un’ampia gamma di tattiche: siti di phishing, mascheramento di file dannosi come programmi legittimi e utilizzo di software gratuito che i dipendenti sono spesso costretti a utilizzare a causa della mancanza di strumenti aziendali.

Il gruppo Silver Fox APT è specializzato in operazioni di spionaggio rivolte a organizzazioni di lingua cinese, compreso l’uso di ValleyRAT e Gh0st RAT per raccogliere dati, monitorare l’attività e fornire moduli aggiuntivi. La campagna si distingue per il suo focus su un pubblico monolingue, che ne sottolinea la portata e l’obiettivo strategico. La mancanza di investimenti nella sicurezza informatica da parte delle vittime aumenta la loro vulnerabilità a tali attacchi.

L’utilizzo del caricatore modulare PNGPlug consente agli aggressori di adattare la minaccia a diverse campagne, il che la rende particolarmente pericolosa. Questi eventi dimostrano la necessità di implementare tecniche avanzate di rilevamento e protezione contro le minacce in continua evoluzione.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Marcello Filacchioni

ICT CISO e Cyber Security Manager con oltre vent’anni di esperienza tra settore pubblico e privato, ha guidato progetti di sicurezza informatica per realtà di primo piano. Specializzato in risk management, governance e trasformazione digitale, ha collaborato con vendor internazionali e startup innovative, contribuendo all’introduzione di soluzioni di cybersecurity avanzate. Possiede numerose certificazioni (CISM, CRISC, CISA, PMP, ITIL, CEH, Cisco, Microsoft, VMware) e svolge attività di docenza pro bono in ambito Cyber Security, unendo passione per l’innovazione tecnologica e impegno nella diffusione della cultura della sicurezza digitale.

Aree di competenza: Cyber Security Strategy & Governance, Vulnerability Management & Security Operations.