Se llama Stegoloader y es un malware modular que se oculta en imágenes con formato PNG usando la técnica de esteganografía. Dell SecureWorks ha publicado el resultado de una ardua investigación que muestra el funcionamiento de este malware.
El troyano de la familia TROJ_GATAK fue identificado a finales de 2013 y desde antes ha estado infectando sistemas médicos, financieros y manufactureros, principalmente, de acuerdo con información de Trend Micro. Los países más afectados son Estados Unidos con el 66.82%, Chile con el 9.10%, Malasia con un 3.32%, Noruega un 2.09% y Francia con el 1.71 por ciento.
(c) Trend MicroPara infectar los sistemas, los responsables de Stegohoalder usan la esteganografia para ocultarse en imágenes PNG con la información encriptada. Cuando llega a un equipo, el módulo de implementación intenta descargar el módulo principal, pero antes se encarga de estudiar los movimientos del usuario, como el uso del mouse, y de esa manera evitar que sea descubierto.
Por otra parte, también se asegura de revisar los procesos que le pueden encontrar, usualmente herramientas de detección de malware, para no continuar con la implementación del módulo principal. Debido a que el malware utiliza la esteganografía y a modulación, resulta difícil encontrarle, aún más utilizando las técnicas antes mencionadas.
(c) Trend MicroEl troyano puede ser descargado de internet como un generador de claves o activador, para luego hacerse pasar por un archivo legítimo de Skype o Google Talk, desde donde descarga imágenes como la de arriba con el malware en su código binario. Usa la librería gdiplus para descomprimir cada pixel de la imagen y extraer de él los componentes necesarios para su complementación que posteriormente serán desencriptados.
Una vez implementado, el troyano se mantiene funcionando en RAM y es capaz de robar información de primera mano, principalmente datos de los usuarios del sistema. Además, permite la instalación de nuevos módulos para obtener acceso a la geolocalización, robo de contraseñas, documentos abiertos recientemente y evitar ser reconocido por antimalware.
Stegoloader continuará afectando sistemas hasta no ser descubierta la forma de revertir su ingeniería que además usa una técnica antigua para ocultar datos en archivos. Mientras tanto, se recomienda tener cuidado con lo que se descarga de internet, revisar los procesos activos y si hay imágenes en el equipo que no deberían estar.
No hay comentarios:
Publicar un comentario