Stegoloader Malware đánh cắp thông tin ẩn mình trong một bức ảnh

Tin tặc đang không ngừng đưa những biện pháp khác nhau bảo vệ chiến dịch tấn công của chúng và ngăn không cho công nghệ cũng như các nhà nghiên cứu phát hiện. Mới đây nhất là Stegoloader malware được che dấu trong hình ảnh dạng .PNG.

Steganography thường được sử dụng để dấu thông tin đằng sau một bức ảnh. Tác giả của malware Stegoloader  sử dụng kĩ thuật này để dấu mã độc vào hình ảnh, giải nén và thực thi sau khi hàng loạt các bước kiểm tra bảo mật được thông qua. Kĩ thuật này đã được sử dụng bởi một số loại malware khác bao gồm các cuộc tấn công của nhóm Miniduke APT, Aulreon rootkit và Lurk downloader phát hiện bởi Dell SecureWorks năm ngoái.

Mục đích chính của malware là đánh cắp thông tin hệ thống và tải thêm những module khác, truy cập vào tài liệu người dùng, danh sách các chương trình đã cài đặt và đánh cắp lịch sử trình duyệt web, kèm theo malware đánh cắp mật khẩu Pony. Trước khi triển khai những module khác, Stegoloader sẽ kiểm tra xem nó có đang được chạy trong môi trường phân tích hay không. Ví dụ nó theo dõi các bước di chuyển của con trỏ chuột bằng cách gọi nhiều lần hàm GetCursorPos. Nếu chuột thay đổi vị trí liên tục hoặc không thay đổi vị trí, malware sẽ dừng mọi hoạt động độc hại lại. Stegoloader cũng liệt kê những tiến trình đang chạy, nếu có Wireshark, Fiddle hay công cụ bảo mật khác, nó sẽ không thực thi.

File PNG chứa malware độc hại không hề lưu lại trên ổ đĩa cứng khiến rất khó để tìm ra theo kiểu truyền thống. Dữ liệu của malware được giải mã thông qua thuật toán RC4 và một khóa cứng. Malware  nằm trong bộ nhớ và chấp nhận lệnh từ xa bao gồm lệnh dừng, hủy, gửi thông tin hệ thống, lịch sử Firefox, Chrome, Internet Explorer và thực thi shellcode.

Nạn nhân của malware là các dịch vụ chăm sóc sức khỏe, giáo dục, các ngành công nghiệp sản xuất dù nó vẫn chưa được phát tán thông qua các khai thác hoặc email lừa đảo. Malware chủ nằm trong các phần mềm lậu và người dùng tải về trên Internet.

threatpost