Dell Secureworks CTU forskargrupp har nyligen analyserat ett stycke skadlig kod och identifieras renoveringen av Stegoloader som använder digital steganografi för att dölja sin huvudmodulen kod. Denna dolda del av koden är gömd inne i en Portable Network Graphics (PNG) bild som kan laddas ner från en legitim webbplats.
================================================== ========================
================================================== ========================
Stegoloader pågår
Detta malware även känd som Win32 / Gatak.DR och TSPY_GATAK.GTK är en ny typ av skadlig kod. Faktiskt, Stegoloader är inte tekniskt ny på scenen av malware världen men det har bara sin förnyad version. Det är från den malware familjen av trojanska hästar och har varit verksam sedan åtminstone 2013 och ändå är relativt unknown.Recently, renoverade infektioner har upptäckts genom PC-användare och föroreningar är nästan omärklig som ingen förväntar sig att bli smittad med bara besöka en webbsida.
Utplaceringen av Stegoloader implementeras via PNG-fil
Det sprids genom piratkopiering webbplatser, med ett paket av programvara licensnyckel generatorer. Stegoloader huvudmodul använder digital steganografi för att dölja en del av sin kod i en Portable Network Graphics (PNG) bild presenteras på en legitim webbplats, såsom nämnts. Denna skadliga typ av trojan distribuerar genom att ladda ner denna bild varje gång det körs och använder steganografi att utvinna sin kod från bilden. Det skadliga programmet aldrig sparas på hårddisken och avslutas direkt av minnes, vilket gör detektering svår.
→”Efter nedladdning bilden, Stegoloader använder GDIPlus biblioteket för att expandera bilden, komma åt varje pixel, och extrahera den minst signifikanta biten hos färgen för varje pixel. Den extraherade dataströmmen dekrypteras med användning RC4 algoritm och en hårdkodad nyckel.” Dell Secureworks CTU forskargrupp förklarade i ett blogginlägg.
Tekniken är enkel och består av två steg
- Det första steget är att avgöra om datorn är säker för driftsättning. Stegoloader kontrollerar för den typ av säkerhetsanalyssystem och dess styrka. Denna analys går med en frekvent förändring av musens position, men det är inte nödvändigt eftersom det inte kunde ändra sin ståndpunkt och i detta fall malware avslutas utan att uppvisa någon skadlig aktivitet.
- Det andra steget är att ladda ner huvud driftsättning läge. Om resultatet av Stegoloader är klar, då hämtar och kör ut huvudläge. Detta sker genom att hämta en grundläggande, varje dag PNG fil, ofta värd på en pålitlig och legitim webbplats.
dessutom, några av Stegoloader funktioner distribueras endast på nedsatt system beroende på intresse malware operatör. Den modulära designen gör dess operatör att genomföra moduler när necessary.That begränsar exponeringen av malware kapacitet under utredningar och vänder teknisk analys. Denna begränsade exponering gör det svårare att bedöma aktörerna hot’ uppsåt fullt. Modulerna analyseras av CTU forskare lista mestadels åt dokument, Nyligen besökta webbplatser, räkna installerade program, stulna lösenord, och tagit installationsfiler för IDA verktyget.