El famoso software malicioso LokiBot ahora utiliza la esteganografía como una capa adicional de ofuscación.
Ros investigadores de Trend Micro han registrado una nueva variante del malware y realiza su análisis. Aparentemente, los autores están finalizando activamente y mejorar LokiBot.“Nuestro análisis de una nueva variante LokiBot muestra que ha mejorado su capacidad para permanecer sin ser detectado dentro de un sistema a través de un mecanismo de persistencia actualizado y el uso de la esteganografía para ocultar su código”, - reportados investigadores de Trend Micro.
Un programa malicioso ha sido adoptado por algunos grupos de ciberdelincuentes, incluyendo atacantes nigerianos SilverTerrier.
leer también: La nueva versión del troyano bancario TrickBot “arranca” Windows Defender
LokiBot puede robar información de 25 diferentes navegadores, comprobar la disponibilidad de herramientas para la administración remota (SSH, VNC, RDP), y recuperar las credenciales de clientes de correo electrónico.
En las últimas versiones de software malicioso, los autores le enseñaron a ocultar el código en imágenes.
“Una de las características del archivo de imagen que nos pareció interesante es que en realidad se puede abrir como una imagen. sin embargo, sino que también contiene datos que LokiBot referencias en su rutina de desembalaje”, - explica Trend Micro especialistas.
Este código se utiliza en una etapa de ataque para desempaquetar. Un análisis de los expertos mostró que la imagen contiene un binario encriptado, el cual el malware utiliza para descifrar LokiBot en la RAM del dispositivo infectado.
“Una razón probable para la dependencia de esta variante particular de la esteganografía es que añade otra capa de ofuscación - wscript (el intérprete de archivos VBS) se utiliza para ejecutar el software malicioso en lugar de que el malware ejecutándose real. Dado que el mecanismo de arranque automático utiliza un script, futuras variantes pueden elegir”, - especialistas de Trend Micro escriben.
Los investigadores señalan que este enfoque, LokiBot que el malware utiliza la esteganografía, no sólo permite que el malware para eludir la detección, sino también a ser más fuerte en el sistema atacado.
