Basta visitare con Internet Explorer un sito Web contente un banner pubblicitario modificato per rischiare infezioni malware. L’ultima minaccia del genere malvertising – cioè advertising malevolo – si chiama Stegano ed è in realtà in circolazione almeno dal 2014 ma solo di recente sembra aver intensificato la sua attività. Ad accorgersene sono stati i ricercatori di Eset, secondo i quali i banner compromessi sarebbero stati visualizzati da oltre un milione di internauti in poco più due mesi, dall’inizio di ottobre a oggi. E non è tutto: il problema riguarderebbe in modo particolare una manciata di Paesi, fra cui l’Italia.
Stegano (dal greco antico στεγανός, coperto) è un codice malevolo che camuffa la sua presenza all’interno di un’immagine, e più precisamente nei parametri del canale alpha, che controlla la trasparenza dei singoli pixel di cui si compone un banner pubblicitario. Lo script modifica appena, con variazioni quasi impercettibili dall’occhio umano, il colore di parti dell’immagine. I banner che lo contengono, dunque, non destano sospetti né per l’internauta né per i proprietari dei siti o webmaster, e infatti la sua presenza è stata rilevata da Eset in diversi luoghi del Web molto frequentati, specie in testate di informazione con domini italiani, spagnoli, britannici, australiani e canadesi. Sui nomi, la società di sicurezza informatica ha mantenuto il riserbo.
Chi è a rischio e quali sono i pericoli? Il risultato finale può essere l’involontaria installazione sul Pc di malware come quelli appartenenti alle famiglie di Ursnif e Ramnit, che possono realizzare furto di credenziali di email, logging di tastiera, cattura dello schermo, o con lo scopo di installare una backdoor o con quello di sottrarre denaro. Nel caso l’internauta clicchi sul banner modificato con Stegano, quest’ultimo verifica che il browser non sia protetto da antivirus, programmi di sandoboxing o altri software che potrebbero smascherarlo. E lo fa sfruttando un bug presente in vecchie versioni di Internet Explorer, noto come CVE-2016-0162 e già risolto tramite patch da Microsoft.
In caso di “via libera”, Stegano reinidirizza il browser attraverso il servizio TinyUrl verso un sito che ospita tre exploit per vulnerabilità di Flash (CVE-2015-8641, CVE-2016-1019, e CVE-2016-4117), che si attivano a seconda della versione di Flash presenti sul Pc della vittima. ”Sfruttando queste falle”, ha spiegato Eset, “i criminali informatici hanno certato di scaricare ed eseguire vari tipi di malware, tra cui backdoor e trojan dwnloader a loro volta in grado di scaricare altri malware, tra cui varianti di Ursnif e Ramnit”.
Il problema dunque non riguarda chi utilizzi programmi di navigazione diversi da Internet Explorer oppure versioni di quest’ultimo recenti. Ma vista la persistenza di cattive abitudini, come la pigrizia e la scarsa attenzione a installare gli aggiornamenti di sicurezza, e visti i volumi di traffico dei siti osservati da Eset, la minaccia di Stegano non va sottovalutata.