A equipa de investigação Dell SecureWorks CTU ultimamente tem analisou um pedaço de malware e identificou a renovação de Stegoloader que usa esteganografia digital para ocultar códigos seu principal do módulo. Esta parte escondida do código é escondido dentro de um Portable Network Graphics (PNG) imagem que pode ser baixado de um site legítimo.
================================================== ========================
================================================== ========================
Stegoloader in Progress
Este malware também conhecido como Win32 / Gatak.DR e TSPY_GATAK.GTK é um novo tipo de malware. Na realidade, Stegoloader não é tecnicamente novo no palco do mundo malware, mas ele só tem a sua versão renovada. É a partir da família de malware de cavalos de Tróia e tem sido ativa desde pelo menos 2013 e ainda é relativamente unknown.Recently, infecções renovados foram detectados através de usuários de PC e contaminações são quase imperceptíveis como ninguém esperar para ficar infectado com apenas visitar uma página web.
A implantação de Stegoloader Implementado via arquivo PNG
Ela é disseminada através de sites de pirataria de software, com um pacote de geradores de chave de licença de software. Stegoloader módulo principal usa esteganografia digital para esconder parte de seu código dentro de um Portable Network Graphics (PNG) imagem apresentada em um site legítimo, como mencionado. This malicious type of Trojan deploys by downloading this image each time it runs and uses steganography to extract its code from the image. The malware is never saved to the hard disk and is completed directly by memory, which makes detection difficult.
→“After downloading the image, Stegoloader uses the gdiplus library to decompress the image, access each pixel, and extract the least significant bit of the color of each pixel. The extracted data stream is decrypted using the RC4 algorithm and a hard-coded key.” equipe de pesquisa Dell SecureWorks CTU explicou em um post no blog.
A técnica é simples e consiste em duas etapas
- A primeira etapa é determinar se o computador é seguro para a implantação. Stegoloader está verificando o tipo de sistema de análise de segurança e sua força. Esta análise vai com uma mudança frequente da posição do mouse, mas não é necessário, uma vez que não poderia mudar a sua posição e, neste caso de malware termina sem exibir qualquer atividade maliciosa.
- A segunda etapa é baixar o modo de implementação principal. Se o resultado da Stegoloader é clara, em seguida, ele baixa e sai correndo modo principal. Isso acontece por buscar um básica, todos os dias arquivo PNG, frequentemente hospedado em um site confiável e legítima.
Além disso, algumas das funcionalidades do Stegoloader são implantados somente em sistemas comprometidos, dependendo do interesse do operador de malwares. Seu design modular permite a sua operadora para implementar módulos quando necessary.That limita a exposição das capacidades de malware durante as investigações e inverte análise de engenharia. Esta exposição limitada torna mais difícil avaliar os atores de ameaças’ intenção totalmente. Os módulos analisados por pesquisadores da CTU listar documentos principalmente acessados, recentemente visitou sites, enumerar programas instalados, senhas roubadas, e arquivos de instalação tomadas para a ferramenta IDA.