Il team di ricerca Dell SecureWorks CTU ultimamente ha analizzato un pezzo di malware e identificato la ristrutturazione di Stegoloader che utilizza la steganografia digitale per nascondere il codice del suo modulo principale. Questa parte nascosta del codice è nascosto all'interno di un Portable Network Graphics (PNG) immagine che potrebbe essere scaricato da un sito web legittimo.
================================================== ========================
================================================== ========================
Stegoloader in Progress
Questo malware noto anche come Win32 / Gatak.DR e TSPY_GATAK.GTK è un nuovo tipo di malware di. In realtà, Stegoloader non è tecnicamente nuovo sulla scena del mondo del malware, ma ha solo la sua versione rinnovata. E 'dalla famiglia di malware di cavalli di Troia ed è stato attivo almeno dal 2013 e tuttavia è relativamente unknown.Recently, infezioni rinnovati sono stati rilevati attraverso gli utenti di PC e contaminazioni sono quasi impercettibili come nessuno si aspetta di avere infettato con semplicemente visitando una pagina web.
La distribuzione di Stegoloader implementata tramite file PNG
Si è diffusa attraverso i siti web pirateria software, con un pacchetto di generatori di chiavi di licenza del software. Stegoloader modulo principale utilizza la steganografia digitale per nascondere parte del suo codice all'interno di un Portable Network Graphics (PNG) immagine presentata su un sito web legittimo, come accennato. Questo tipo di malware Trojan dispiega scaricando questa immagine ogni volta che viene eseguito e utilizza la steganografia per estrarre il suo codice dall'immagine. Il malware non è mai salvato sul disco rigido e si completa direttamente dalla memoria, il che rende difficile il rilevamento.
→“Dopo aver scaricato l'immagine, Stegoloader utilizza la libreria GDIPlus per decomprimere l'immagine, accedere a ciascun pixel, ed estrarre il bit meno significativo del colore di ogni pixel. Il flusso di dati estratti vengono decifrati utilizzando l'algoritmo RC4 e una chiave hard-coded.” Dell SecureWorks CTU team di ricerca ha spiegato in un post sul blog.
La tecnica è semplice e si compone di due fasi
- La prima fase consiste nel determinare se il computer è sicuro per la distribuzione. Stegoloader sta controllando per il tipo di sistema di analisi di sicurezza e la sua forza. Questa analisi va con un frequente cambiamento della posizione del mouse, ma non è necessario in quanto non modifichi la sua posizione e in questo caso il malware termina senza mostrare alcuna attività dannosa.
- La seconda fase è il download della modalità di distribuzione principale. Se il risultato di Stegoloader è chiaro, poi si scarica e si esaurisce modalità principale. Questo avviene recuperando una base, ogni giorno file PNG, spesso ospitato su un sito web affidabile e legittimo.
Inoltre, alcune delle caratteristiche di Stegoloader vengono distribuiti solo su sistemi compromessi a seconda degli interessi del gestore di malware. Il suo design modulare permette il suo operatore di implementare moduli quando necessary.That limita l'esposizione delle capacità di malware durante le indagini e inverte analisi di ingegneria. Questa esposizione limitata rende più difficile valutare gli attori delle minacce’ intento pienamente. I moduli analizzati dai ricercatori CTU elenco dei documenti per lo più acceduti, recentemente visitato i siti web, enumerare i programmi installati, password rubate, e file di installazione prese per lo strumento IDA.