L'équipe de recherche CTU Dell SecureWorks a récemment analysé un code malveillant et identifié la rénovation de Stegoloader qui utilise stéganographie numérique pour cacher le code de son module principal. Cette partie cachée du code est caché dans un Portable Network Graphics (PNG) image qui pourrait être téléchargé à partir d'un site Web légitime.
================================================== ========================
================================================== ========================
Stegoloader en cours
Ce malware également connu sous le nom Win32 / Gatak.DR et TSPY_GATAK.GTK est un nouveau type de logiciels malveillants. Réellement, Stegoloader n'est pas techniquement nouveau sur la scène du monde des logiciels malveillants, mais il a juste sa version renouvelée. Il est de la famille des logiciels malveillants et les chevaux de Troie a été actif depuis au moins 2013 et pourtant est relativement unknown.Recently, infections rénovées ont été détectés par les utilisateurs de PC et sont presque imperceptible contaminations que personne ne vous attendez d'être infectés par simplement visiter une page web.
Le déploiement de Stegoloader Mis en œuvre par fichier PNG
Il est diffusé à travers les sites de piratage de logiciels, avec un pack de licences de logiciels générateurs de clés. Module Stegoloader principal utilise stéganographie numérique pour cacher une partie de son code dans un Portable Network Graphics (PNG) image présentée sur un site Web légitime, comme mentionné. Ce type malveillant de Troie déploie en téléchargeant cette image chaque fois qu'il fonctionne et utilise stéganographie pour extraire le code de l'image. Le logiciel malveillant est jamais enregistré sur le disque dur et est complété directement par la mémoire, ce qui rend difficile la détection.
→« Après avoir téléchargé l'image, Stegoloader utilise la bibliothèque gdiplus pour décompresser l'image, accéder à chaque pixel, et extraire le bit le moins significatif de la couleur de chaque pixel. Le flux de données extrait est décrypté en utilisant l'algorithme RC4 et une clé codée en dur.” équipe de recherche CTU Dell SecureWorks a expliqué dans un billet de blog.
La technique est simple et se compose de deux étapes
- La première étape consiste à déterminer si l'ordinateur est sans danger pour le déploiement. Stegoloader vérifie pour le type de système d'analyse de la sécurité et de sa force. Cette analyse va de pair avec un changement fréquent de la position de la souris, mais il est pas nécessaire car il ne pouvait pas changer sa position et dans ce malware cas se termine sans présenter une activité malveillante.
- La deuxième étape est le téléchargement le principal mode de déploiement. Si le résultat de Stegoloader est clair, il télécharge et exécute en mode principal. Cela se produit en allant chercher une base, fichier PNG tous les jours, souvent hébergé sur un site de confiance et légitime.
En outre, certaines fonctionnalités de Stegoloader sont déployées uniquement sur les systèmes compromis en fonction de l'intérêt de l'opérateur des programmes malveillants. Sa conception modulaire permet à son opérateur de mettre en œuvre des modules lorsque necessary.That limite l'exposition des capacités de programmes malveillants au cours des enquêtes et inverse l'analyse technique. Cette exposition limitée rend plus difficile d'évaluer les acteurs de la menace’ intention pleinement. Les modules analysés par des chercheurs CTU liste des documents donc majoritairement, a récemment visité des sites Web, énumérer les programmes installés, les mots de passe volés, et pris les fichiers d'installation de l'outil IDA.