Il malware OnionDuke può effettivamente diffondersi a nuovi sistemi tramite un'immagine?

Question

Il malware OnionDuke può effettivamente diffondersi a nuovi sistemi tramite un'immagine?

#1 da (2 voti)

1

Mi rendo conto che le domande sul malware nelle immagini sono già state poste prima. Semplicemente non sembra che rispondano alle domande in questa particolare situazione.

Si tratta del malware APT OnionDuke che F-Secure ha riportato su qui (nota che questo rapporto è datato venerdì, 14 novembre 2014).

La mia domanda riguarda informazioni in questo articolo di F-Secure (secondo quale OnionDuke è stato trovato nel 2014). Questo articolo dice a p.23:

In contrast however, for OnionDuke and MiniDuke the linked image files contain embedded malware to be downloaded and executed, rather than instructions.

E le informazioni in questo recente articolo (anche da F -Secure) che dice quanto segue:

Questa informazione su OnionDuke significa che tenta di infettare nuovi sistemi incorporandosi in un'immagine che viene eseguita quando viene visualizzata da un utente, o è quell'immagine per l'aggiornamento di sistemi già infetti?

windows apt

posta user100487 18.11.2015 - 18:25

fonte

1 risposta

Leggi altre domande sui tag windows apt

Se il sito non è caricato nel frame, il sito è vulnerabile al click jacking. Hydra Performance [chiuso]

score 2 · Accepted Answer

Does this information about OnionDuke mean that it attempts to infect new systems by embedding itself inside an image that is executed when viewed by a user, or is that image for upgrading systems that are already infected?

Da quanto ho capito, il carico utile deve essere estratto dall'immagine da un'istanza esistente del malware o da un dropper. Un'altra parte della relazione rende questo più chiaro in quanto scrivono ( Whitepaper di Dukes , pagina 14):

Screenshot of a tweet intended for OnionDuke, with a link pointing to an image file that embeds an updated version of OnionDuke

Quindi Twitter fa parte del Command & La struttura di controllo e il malware caricheranno le istruzioni dal tweet, cioè dove è possibile trovare l'aggiornamento. L'incorporamento del malware all'interno dell'immagine viene utilizzato per renderlo innocente, in modo che i firewall oi sistemi di rilevamento delle violazioni non considerino i dati sospetti. E tale immagine può essere facilmente posizionata su molti siti attendibili, per cui è molto probabile che l'URL per l'immagine non sia nella lista nera.

L'immagine stessa non viene utilizzata come vettore di exploit, ovvero la visualizzazione dell'immagine all'interno del browser è innocua. È usato solo come contenitore.