Es natural que un malware esté oculto en algún lugar para que resulte complicado y difícil que las posibles víctimas no lo noten. Y en ninguna parte es más difícil detectar un malware que en imágenes que cree que son seguras pero que en realidad contienen códigos maliciosos.
Los investigadores de seguridad de Dell SecureWorks han descubierto el malware Stegoloader que acecha en una gran cantidad de imágenes mediante esteganografía digital, que los piratas informáticos utilizan para ocultar el código ejecutable dentro de un mensaje o imagen. Luego, el atacante extrae y ejecuta el malware después de que haya pasado una serie de controles de seguridad.
El grupo que desarrolló y difundió el malware Stegoloader ha estado ocultando su código de robo de información principalmente en archivos PNG. Eso significa que un gran volumen de imágenes PNG de varios sitios web legítimos de alojamiento podría contener el malware.
Aunque todavía no hay pruebas de que el malware se haya utilizado en ataques dirigidos, la posibilidad de que pueda robar información no está lejos de la realidad. Por otro lado, lo que encontraron los investigadores de Dell fue que la mayoría de las víctimas atacadas por este malware incluyen los sectores de la educación, la salud y la industria.
El método de propagación utilizado en esta forma de ataque entra en juego cuando un usuario descarga un software pirateado. También es posible que un atacante pueda lanzar más módulos para dispersar el malware aún más después de establecerse en una determinada red.
Después de robar los datos de una víctima, el malware pasa a cargar más módulos utilizados por el atacante para acceder a los documentos que un usuario abrió anteriormente o software instalado recientemente. También puede eliminar otros datos, como el historial de navegación y otros archivos importantes que quizás nunca sepa que fueron robados.
El malware está diseñado para ser consciente de que está operando en un entorno libre de análisis de seguridad. Solo entonces el malware implementaría los módulos adicionales. O si el módulo de implementación detecta un software de seguridad en ejecución a través de la presencia de cadenas codificadas de cualquier proveedor de seguridad, el malware no se ejecutará.
Cuando el malware se ejecuta, se vincula a un servidor y cifra la comunicación antes de descargar el archivo PNG que contiene el código malicioso.
Y sería difícil encontrar el malware porque el archivo PNG o el código descifrado no se guarda en el disco. Ni siquiera la herramienta de análisis de firmas más robusta puede localizarlo.
Se dice que el malware Stegoloader también está asociado con anuncios emergentes, scareware y ransomware.
