Malware LokiBot otrzymał istotną aktualizację i jest teraz w stanie ukrywać swój kod źródłowy w niewinnie wyglądającym obrazku.

To już kolejne złowrogie wykorzystanie steganografii. Urok tej techniki polega na tym, że można z jej pomocą ukryć wiadomości lub kod w innych formatach plików np. .txt, .jpg, .rtf oraz w niektórych formatach video. Każdy z nas zetknął się z nią chociaż raz w przeszłości. Ochrona własności intelektualnej i praw autorskich dotąd była jej kluczową domeną. Nie trzeba było czekać długo, aż przestępcy znajdą dla niej praktyczne wykorzystanie także w swojej branży.

W aktualnie prowadzonej kampanii atakujący ukryli zaszyfrowane binaria LokiBot w plikach .png/.jpg. Obrazy spakowano w złośliwe archiwum, które następnie zostało rozesłane w wiadomościach phishingowych.

Przykładowy mail zawiera plik .doc, arkusz Microsoft Excel 97-2003 oraz paczkę ‚package.json’. Skan przez VirusTotal pokazał, że to jednak nie wszystko… W momencie otwarcia złośliwego pliku, skrypt instaluje malware jako plik .exe w folderze tymczasowym wraz z obrazkiem .jpg wzbogaconym o kod źródłowy LokiBot.

Ciekawostka. Spreparowany plik .jpg może zostać otwarty jako obraz.

Jak przebiega atak? Loader wyszukuje określony ciąg lub marker w kodzie, który rozpoczyna proces odszyfrowywania. Następnie odszyfrowana zawartość jest rozpakowywana i ładowana do pamięci komputera. Co daje zastosowanie steganografii? Dodaje ona kolejną warstwę zaciemnienia – wscript (interpreter plików VBS) służy egzekucji zadań malware’a. Z uwagi na to, że Autostart bazuje właśnie na skrypcie, być może kolejne wersje LokiBot będą w stanie w locie przeprowadzać jego modyfikację.

Szkody. LokiBot jest w stanie wykradać informacje, czy robić za keylogger’a. Dodatkowo program tworzy backdoor’a w zainfekowanych systemach Windows – zarówno w celu utrzymania ataku, jak i wysyłki skradzionych informacji do serwera C&C.

źródło