Der berühmte LokiBot Malware nutzt nun Steganographie als eine zusätzliche Schicht von Verschleierungs.
Rorscher bei Trend Micro aufgezeichnet eine neue Variante der Malware und ihre Analyse durchgeführt. Offenbar, Die Autoren sind jetzt aktiv Finalisierung und die Verbesserung der LokiBot.“Unsere Analyse einer neuen LokiBot Variante zeigt, dass es innerhalb eines Systems über einen aktualisierten Persistenzmechanismus seine Fähigkeiten für den Aufenthalt unentdeckt verbessert hat und die Verwendung von Steganographie seinen Code zu verstecken”, - berichtet Trend Micro Forscher.
Ein bösartiges Programm wird von einigen cyberkriminellen Gruppen angenommen worden, einschließlich Nigerian Angreifer SilverTerrier.
lesen Sie auch: Die neue Version des Banking-Trojaner TrickBot „startet“ Windows Defender
LokiBot können Informationen stehlen aus 25 verschiedene Browser, überprüfen Sie die Verfügbarkeit von Tools für Remote-Verwaltung (SSH, VNC, RDP), und Abrufen von Anmeldeinformationen aus E-Mail-Clients.
In den neuesten Versionen von Malware, die Autoren lehrte ihn Code in Bildern zu verstecken.
„Ein Merkmal der Bilddatei, die wir interessant finden, ist, dass es tatsächlich als ein Bild geöffnet werden kann. jedoch, es enthält auch Daten, die Verweise in seiner auspacken Routine LokiBot“, - erklärte Trend Micro-Spezialisten.
Dieser Code wird zu einem bestimmten Zeitpunkt des Angriffs verwendet auszupacken. Eine Analyse von Experten ergab, dass das Bild enthält, einen verschlüsselten binären, welche die Malware verwendet LokiBot im RAM der infizierten Vorrichtung zum Entschlüsseln.
„Ein möglicher Grund für diese Abhängigkeit der besonderen Variante auf Steganographie ist, dass es eine weitere Ebene der Verschleierung fügt - wscript (der VBS-Datei-Interpreter) wird verwendet, um die Malware anstelle der tatsächlichen Malware auszuführen selbst ausführt. Da der Autostart-Mechanismus verwendet ein Skript, zukünftige Varianten wählen“, - Trend Micro Spezialisten schreiben.
Die Forscher beachten Sie, dass dieser Ansatz, dass LokiBot Malware verwendet Steganographie, ermöglicht nicht nur die Malware-Erkennung zu umgehen, sondern auch in dem angegriffenen System stärker zu werden.
