What is steganography and how is it used in cyberattacks?

Steganography hides data inside ordinary files by making tiny changes to their contents. In image-based attacks, an attacker modifies pixel color values by amounts too small for the human eye to detect, encoding malware payloads, stolen data, or command-and-control instructions within the image. The modified image opens and displays normally, which lets it bypass email filters and content scanners that only check file headers. Security firm BlackBerry reported that steganography-based attacks increased by 600% between 2017 and 2022, with most using PNG and JPEG files as carriers.

Can antivirus software detect malware hidden in images?

Standard antivirus tools scan for known malware signatures and suspicious code patterns. They do not typically analyze pixel-level data for hidden payloads, which makes steganography an effective evasion technique. The hidden data only becomes dangerous when extracted and executed by separate malware or a browser vulnerability. Some advanced endpoint detection tools can flag unusual image file behavior, like an image file that also parses as valid JavaScript, but detection rates remain low. The most effective defense is restricting where images can be opened and keeping browsers patched against known rendering vulnerabilities.

Attacchi Basati su Immagini (Stegosploit)

That image file might be carrying more than pixels.

Cos’è Attacchi Basati su Immagini (Stegosploit)?

La steganografia e la pratica di nascondere dati all'interno di file dall'aspetto ordinario, e le immagini sono il veicolo piu comune. Un attaccante puo incorporare codice eseguibile, istruzioni di command-and-control o dati rubati all'interno dei valori dei pixel di un file JPEG o PNG. L'immagine si apre normalmente, appare normale e supera la maggior parte dei filtri email. Ma il payload nascosto e li, in attesa di essere estratto da un malware gia presente nel sistema o attivato attraverso una vulnerabilita del browser. Questo esercizio inizia con uno scenario realistico. Un collaboratore esterno invia un portfolio di lavori di esempio. Le immagini appaiono professionali. Una di esse contiene un payload JavaScript nascosto che sfrutta una vulnerabilita nota di rendering del browser. Esaminerai i metadati del file, confronterai le dimensioni del file con le dimensioni attese e imparerai perche un PNG di 4MB di una miniatura 200x200 dovrebbe sollevare dubbi. La simulazione copre tre metodi di attacco. La steganografia classica nasconde dati all'interno dei valori dei pixel dell'immagine, modificando i colori di quantita invisibili all'occhio umano. I file poliglotti sono immagini valide che sono contemporaneamente file HTML o JavaScript validi. L'iniezione nei metadati inserisce script eseguibili nei campi dati EXIF. Per ogni metodo, impari l'approccio di rilevamento che funziona. Praticherai anche la procedura di risposta: cosa fare se hai aperto un'immagine sospetta, come segnalarlo e come verificare se il tuo sistema mostra segni di compromissione.

Cosa imparerai in Attacchi Basati su Immagini (Stegosploit)

Spiegare come la steganografia incorpora codice malevolo all'interno dei file immagine senza alterare visibilmente l'immagine
Identificare file immagine sospetti esaminando i metadati del file, dimensioni inaspettate e dimensioni non corrispondenti
Distinguere tra steganografia classica a livello di pixel, attacchi con file poliglotti e iniezione nei metadati EXIF
Applicare procedure sicure di gestione delle immagini, incluso evitare il rendering diretto nel browser di file immagine non attendibili
Eseguire le corrette procedure di risposta agli incidenti se un'immagine sospetta e stata gia aperta sul tuo dispositivo

Attacchi Basati su Immagini (Stegosploit) — Fasi della formazione

Una mattinata creativa

È martedì mattina e stai esaminando i portfolio di designer freelance che vogliono lavorare su una prossima campagna.
Un portafoglio di appaltatori

Ricevi un'e-mail da qualcuno che dichiara di essere un grafico freelance interessato a lavorare con la tua agenzia. L'e-mail include un'immagine incorporata che mostra il lavoro del portfolio.
La minaccia nascosta

L'e-mail ha un aspetto professionale e l'immagine incorporata sembra essere una bellissima fotografia di paesaggio. Ma nel momento in cui il tuo client di posta elettronica esegue il rendering di questa immagine, qualcosa si attiva in background. I browser e i client di posta elettronica moderni utilizzano l'API Canvas HTML5 per visualizzare le immagini. Gli aggressori sfruttano questo problema nascondendo codice JavaScript dannoso all'interno dei dati pixel dell'immagine, una tecnica chiamata Stegosploit .
L'avviso di sicurezza

Il software di sicurezza dell'endpoint rileva attività sospette nel momento in cui viene eseguito il rendering dell'immagine. Viene visualizzato un avviso che avverte che l'immagine incorporata contiene codice dannoso. Il software di sicurezza sta tentando di mettere in quarantena la minaccia prima che possa causare danni.
Una decisione costosa

Nonostante l'avviso dell'antivirus, Alice si convince che probabilmente si tratta di un falso positivo. È impegnata a rivedere i portfolio per la scadenza della campagna e non vuole perdere tempo su ciò che pensa non sia niente. Ignora la notifica e torna a rivedere l'e-mail.
Qualcosa non va

Quarantacinque minuti dopo, la casella di posta di Alice suona con un avviso di sicurezza automatizzato proveniente dal sistema di monitoraggio di Pinnacle Creative. Qualcuno ha effettuato l'accesso al suo account aziendale da una posizione sconosciuta. Ignorando l'avviso dell'antivirus, ha consentito l'esecuzione del payload JavaScript nascosto e il furto delle sue credenziali.
Realizzare l'errore

Alice fissa incredula l'avviso di sicurezza. Quella bellissima immagine del portfolio era in realtà un'arma: un codice dannoso nascosto all'interno di quella che sembrava un'immagine normale. Ignorando l'avviso dell'antivirus mentre era ancora in corso la scansione, ha consentito l'esecuzione del payload e il furto delle sue credenziali. A differenza del malware tradizionale che richiede il download e l'esecuzione di un file, gli attacchi Stegosploit si attivano semplicemente visualizzando un'immagine. Il codice dannoso è nascosto nei dati dei pixel e viene eseguito quando il browser esegue il rendering dell'immagine.
L'immagine armata

Esaminiamo l'immagine incorporata che conteneva il malware nascosto. Questo è ciò che ha innescato l'attacco quando Alice ha aperto l'e-mail.
Analisi dei segnali d'allarme delle e-mail

Ripensando all'e-mail, diventano evidenti diversi segnali di allarme che Alice non ha compreso nella sua revisione iniziale.
Il corpo dell'e-mail

Il contenuto stesso dell'e-mail contiene sottili tattiche di manipolazione.

Cos’è Attacchi Basati su Immagini (Stegosploit)?

Cosa imparerai in Attacchi Basati su Immagini (Stegosploit)

Attacchi Basati su Immagini (Stegosploit) — Fasi della formazione

Una mattinata creativa

Un portafoglio di appaltatori

La minaccia nascosta

L'avviso di sicurezza

Una decisione costosa

Qualcosa non va

Realizzare l'errore

L'immagine armata

Analisi dei segnali d'allarme delle e-mail

Il corpo dell'e-mail