Dell Secure CTU forskerteam har den siste tiden analysert et stykke malware og identifisert renovering av Stegoloader som bruker digital steganography å skjule sin hovedmodul kode. Denne skjulte delen av koden er skjult inne i en Portable Network Graphics (PNG) bilde som kan lastes ned fra en legitim nettside.
================================================== ========================
================================================== ========================
Stegoloader in Progress
Dette malware også kjent som Win32 / Gatak.DR og TSPY_GATAK.GTK er en ny type malware. Faktisk, Stegoloader er ikke teknisk ny på scenen av malware verden, men det bare har sin fornyet versjon. Det er fra malware familien av trojanske hester og har vært aktiv siden minst 2013 og likevel er relativt unknown.Recently, renoverte infeksjoner har blitt oppdaget gjennom PC-brukere og forurensing er nesten umerkelig som ingen forventer å bli infisert med bare besøke en nettside.
Distribusjonen av Stegoloader Gjennomført via PNG-fil
Det spres gjennom piratkopiering av programvare nettsteder, med en pakke med programvarelisenser nøkkelgeneratorer. Stegoloader hovedmodul bruker digital steganography å skjule deler av koden i en Portable Network Graphics (PNG) bilde presenteres på en legitim nettside, som nevnt. Denne ondsinnede type trojaner distribuerer ved å laste ned dette bildet hver gang det kjører og bruker steganography å trekke ut sin koden fra bildet. Den malware blir aldri lagret på harddisken og er ferdig direkte av minne, som gjør deteksjon vanskelig.
→“Etter nedlasting av bilde, Stegoloader bruker gdiplus biblioteket for å dekomprimere bilde, få tilgang til hver piksel, og trekke ut den minst signifikante bit av fargen for hvert bildeelement. Den ekstraherte datastrøm blir dekryptert ved bruk av RC4-algoritmen og en hardkodet nøkkel.” Dell Secure CTU forskerteam forklart i et blogginnlegg.
Teknikken er enkel og består av to trinn
- Den første fasen er å avgjøre om datamaskinen er trygt for distribusjon. Stegoloader sjekker for den type av sikkerhetsanalyse system og dets styrke. Denne analysen går med en hyppig endring av musens posisjon, men det er ikke nødvendig, fordi det ikke kan forandre sin stilling, og i dette tilfellet skadelig avsluttes uten å oppvise noen skadelig aktivitet.
- Den andre fasen er å laste ned den viktigste distribusjon modus. Dersom resultatet av Stegoloader er klart, da den laster ned og kjører ut hovedmodus. Dette skjer ved å hente en grunnleggende, hver dag PNG-fil, ofte vert på en pålitelig og legitim nettside.
Dess, noen av Stegoloader funksjoner er utplassert bare på kompromitterte systemer avhengig av interesse for malware operatør. Den modulære konstruksjon tillater dens operatør å implementere moduler når necessary.That begrenser eksponeringen av de skadelige kapasiteter i løpet av undersøkelser og reverserer ingeniøranalyse. Dette begrenset eksponering gjør det vanskeligere å vurdere trusselaktører’ hensikt fullt. Modulene analysert ved CTU forskere liste mest brukte dokumenter, nylig besøkte nettsider, oppsummere installerte programmer, stjålne passord, og tatt installasjonsfiler for IDA verktøy.