Złośliwe oprogramowanie bankowe Zeus umieszcza na zdjęciu kluczowy plik

Nowo odkryty wariant znanego trojana bankowego Zeus ukrywa kluczowy kod konfiguracyjny na zdjęciu cyfrowym, technikę znaną jako steganografia.

Zeus jest jednym z najskuteczniejszych narzędzi do kradzieży danych bankowości internetowej, przechwytywania danych logowania podczas uzyskiwania dostępu do konta i maskowania tajnych przelewów w tle.

Wariant, o nazwie ZeusVM, pobiera plik konfiguracyjny zawierający domeny banków, w których szkodliwe oprogramowanie ma interweniować podczas transakcji, napisał Jerome Segura, starszy specjalista ds. Bezpieczeństwa w Malwarebytes. Napisał, że zachowanie to zostało po raz pierwszy zauważone przez francuskiego badacza bezpieczeństwa, który pisze pod nazwą Xylitol.

„Złośliwe oprogramowanie pobierało obraz jpg przechowywany na tym samym serwerze, co inne składniki złośliwego oprogramowania”, napisał Segura.

Steganografia jest od dawna używana przez twórców złośliwego oprogramowania. Osadzając kod w formacie pliku, który wygląda poprawnie, istnieje szansa, że ​​oprogramowanie otrzyma zielone światło.

„Z punktu widzenia webmastera obrazy (zwłaszcza te, które można oglądać) wydają się nieszkodliwe” - napisała Segura.

Napisał, że podejrzany obraz wydaje się być znacznie większy w porównaniu z identycznym obrazem w trybie bitmapy. Dane dodane przez cyberprzestępców zostały zaszyfrowane przy użyciu kodowania Base64, a następnie algorytmów szyfrowania RC4 i XOR.

Po odszyfrowaniu plik pokazuje docelowe banki, w tym Deutsche Bank, Wells Fargo i Barclays.

Wyślij wskazówki i komentarze dotyczące wiadomości na adres [email protected] Śledź mnie na Twitterze: @jeremy_kirk

Dołącz do społeczności Network World na Facebooku i LinkedIn, aby komentować najważniejsze tematy.