Het is normaal dat malware ergens verborgen is, zodat het voor potentiële slachtoffers moeilijk en moeilijk is om het niet op te merken. En nergens is malware moeilijker te herkennen dan op afbeeldingen waarvan u denkt dat ze veilig zijn, maar die in werkelijkheid schadelijke code bevatten.
Beveiligingsonderzoekers bij Dell SecureWorks hebben ontdekt dat Stegoloader-malware op de loer ligt in een groot aantal afbeeldingen met behulp van digitale steganografie, die hackers gebruiken om uitvoerbare code in een bericht of afbeelding te verbergen. De aanvaller extraheert de malware en voert deze uit nadat deze een reeks beveiligingscontroles heeft doorstaan.
De groep die de Stegoloader-malware heeft ontwikkeld en verspreid, heeft hun code voor het stelen van informatie voornamelijk verborgen in PNG-bestanden. Dat betekent dat een groot aantal PNG-afbeeldingen van verschillende legitieme hostingwebsites de malware kunnen bevatten.
Hoewel er nog geen bewijs is dat de malware is gebruikt voor gerichte aanvallen, is de mogelijkheid dat het informatie kan stelen niet ver bezijden de waarheid. Aan de andere kant ontdekten de Dell-onderzoekers dat de meeste slachtoffers van deze malware het onderwijs, de gezondheidszorg en de industrie omvatten.
De verspreidingsmethode die bij deze vorm van aanval wordt gebruikt, komt in het spel wanneer een gebruiker illegale software downloadt. Het is ook mogelijk dat een aanvaller meer modules kan lanceren om de malware verder te verspreiden nadat hij zich op een bepaald netwerk heeft gevestigd.
Nadat de gegevens van een slachtoffer zijn gestolen, laadt de malware meer modules die door de aanvaller worden gebruikt om toegang te krijgen tot documenten die een gebruiker eerder heeft geopend of onlangs software heeft geïnstalleerd. U kunt ook andere gegevens verwijderen, zoals uw browsegeschiedenis en andere belangrijke bestanden waarvan u misschien nooit weet dat ze zijn gestolen.
De malware is ontworpen om zich ervan bewust te zijn dat deze in een omgeving werkt die vrij is van beveiligingsscans. Alleen dan zou de malware de extra modules implementeren. Of als de implementatiemodule actieve beveiligingssoftware detecteert door de aanwezigheid van versleutelde strings van een beveiligingsleverancier, wordt de malware niet uitgevoerd.
Wanneer de malware wordt uitgevoerd, bindt het zich aan een server en versleutelt het de communicatie voordat het het PNG-bestand met de schadelijke code downloadt.
En het zou moeilijk zijn om de malware te vinden omdat het PNG-bestand of de gedecodeerde code niet op de schijf is opgeslagen. Zelfs de meest robuuste handtekeninganalysetool kan het niet vinden.
Stegoloader-malware wordt ook geassocieerd met pop-upadvertenties, scareware en ransomware.
