Quando il malware si nasconde in un file audio
- Creatore Discussione ERCOLINO
- Data di inizio
Che un file wav possa trasmettere un malaware, ho seri dubbi, anche se taggato. Poi non capisco cosa c’entra la stenografia. Dovresti avere già sul pc un programma malevolo che si attiva con comando vocale. Mah.
Qui viene spiegato nei dettagli dai ricercatori che l'hanno scoperto
https://threatvector.cylance.com/en_us/home/malicious-payloads-hiding-beneath-the-wav.html
https://threatvector.cylance.com/en_us/home/malicious-payloads-hiding-beneath-the-wav.html
A ecco ora ci siamo. Non è il file wav di per se che ha il malaware ma il loader component inviato insieme. Allora si. Ma mai un file audio compresso o non compresso da solo può installare un virus o malaware.
Leggendo l’articolo ho capito che il file audio viene inviato in un file zip. Ho capito che hanno trovato il modo di aggiungere in un file wav 4 byte che una volta eseguito il file wav va in memoria ok. Non ho capito se il loader si trovi all’interno del file wav e con quale programma di decodifica audio si attiva.
Edit:
Edit:
Loader EXE> <WAV File> <Decoded PE File Entry Point>
Devi fare l'anti hacker come lavoro. 
Borlengo90
Digital-Forum Master
Da una scorsa all'articolo indicato capisco lo zip non centra nulla, dicono solo che "l'esempio" è disponibile come file zip.
Il codice per generare il codice per il mining/shellcode sono nascosti nel file audio.
Tuttavia quello che deve essere fornito (e chiamato) è il loader esterno capace di eseguire le operazioni di decodifica e il conseguente codice malevolo.
Il codice per generare il codice per il mining/shellcode sono nascosti nel file audio.
Tuttavia quello che deve essere fornito (e chiamato) è il loader esterno capace di eseguire le operazioni di decodifica e il conseguente codice malevolo.
Il veicolo di diffusione preferito dagli hacker è tramite mail dove attraverso un file compresso zip/rar al momento della decompressione oltre al file wav, modificato di 4 byte con un editor esadecimale, c'è anche un loader exe (inserito nel file compresso). Una volta avviato il file audio il malware lancia immediatamente l’utility XMRig che sfrutta la potenza del computer infetto per generare criptovalute Monero.