Den berømte LokiBot malware bruger nu steganografi som et ekstra lag af formørkelse.
Researchers på Trend Micro har indspillet en ny variant af malware og foretog sin analyse. Tilsyneladende, forfatterne er nu aktivt at færdiggøre og forbedre LokiBot.“Vores analyse af en ny LokiBot variant viser, at det har forbedret sin kapacitet til opholder uopdaget inden for et system via en opdateret vedholdenhed mekanisme og brugen af steganografi at skjule sin kode”, - rapporteret Trend Micro forskere.
En ondsindet program er blevet vedtaget af nogle cyberkriminelle grupper, herunder nigerianske angribere SilverTerrier.
Læs også: Den nye version af bank trojanske TrickBot ”skydes i gang” Windows Defender
LokiBot kan stjæle oplysninger fra 25 forskellige browsere, kontrollere tilgængeligheden af værktøjer til fjernadministration (SSH, VNC, RDP), og hente legitimationsoplysninger fra email-klienter.
I de nyeste versioner af malware, forfatterne lærte ham at skjule kode i billeder.
”Et kendetegn ved den billedfil, vi fandt interessant, er, at det rent faktisk kan åbnes som et billede. imidlertid, den indeholder også data, der LokiBot referencer i sin udpakning rutine”, - forklarede Trend Micro specialister.
Denne kode bruges på et tidspunkt af angrebet at pakke. En analyse af eksperter viste, at billedet indeholder en krypteret binær, hvilken malware bruger til at dekryptere LokiBot i RAM'en i den inficerede anordning.
”En sandsynlig årsag til dette særlige variant afhængighed af steganografi er, at det tilføjer endnu et lag af formørkelse - wscript (VBS fil tolk) bruges til at udføre malware i stedet for den faktiske malware udfører selve. Siden autostart mekanisme bruger et script, fremtidige varianter kan vælge at”, - Trend Micro specialister skriver.
Forskere bemærke, at denne tilgang, at LokiBot malware bruger steganografi, ikke kun tillader malware at omgå detektion, men også at blive stærkere i angrebet systemet.
