De beroemde LokiBot malware maakt nu gebruik van steganografie als een extra laag van verduistering.
Researchers bij Trend Micro hebt opgenomen een nieuwe variant van de malware en voerde haar analyse. Blijkbaar, De auteurs zijn nu actief de afronding en het verbeteren van LokiBot.“Onze analyse van een nieuwe LokiBot variant toont aan dat het zijn mogelijkheden is verbeterd voor binnen een systeem via een bijgewerkte persistentie mechanisme en het gebruik van steganografie om de code te verbergen te blijven onopgemerkt”, - meldde Trend Micro onderzoekers.
Een kwaadaardig programma is door sommige cybercrimineel groeperingen aangenomen, waaronder Nigeriaanse aanvallers SilverTerrier.
Lees ook: De nieuwe versie van de banking Trojan TrickBot “start” Windows Defender
LokiBot kan informatie te stelen van 25 verschillende browsers, de beschikbaarheid van hulpmiddelen voor beheer op afstand (SSH, VNC, RDP), en ophalen van de geloofsbrieven van e-mailclients.
In de nieuwste versies van malware, de auteurs leerde hem om code in afbeeldingen verbergen.
“Een kenmerk van het beeldbestand dat we vonden interessant is dat het eigenlijk kan worden geopend als een afbeelding. Echter, het bevat ook gegevens die referenties in haar uitpakritueel LokiBot”, - verklaarde Trend Micro specialisten.
Deze code wordt gebruikt in een bepaald stadium van de aanval uitpakken. Een analyse van deskundigen is gebleken dat de afbeelding bevat een versleutelde binaire, waarbij de malware gebruikt om LokiBot decoderen in de RAM van de besmette inrichting.
“Een waarschijnlijke reden voor vertrouwen deze bijzondere variant op steganografie is dat het voegt een andere laag van verduistering - wscript (de VBS-bestanden worden geïnterpreteerd) wordt gebruikt om de plaats malware uitvoeren van de eigenlijke malware uitvoerende zelf. Omdat de autostart mechanisme maakt gebruik van een script, toekomstige varianten kunnen kiezen om”, - Trend Micro specialisten schrijven.
Onderzoekers constateren dat deze aanpak, dat LokiBot malware gebruikt steganografie, Niet alleen maakt de malware om detectie te omzeilen, maar ook om sterker in het aangevallen systeem geworden.
