Neue Variante des Zeus-Banking-Trojaners namens ZeusVM in JPG-Bildern gefunden

Jerome Segura, ein leitender Sicherheitsforscher von MalwareByte, sagt, dass „eine neue Variante des Zeus-Banking-Trojaners (ZeusVM) in einer JPEG (Joint Photographic Experts Group)-Bilddatei gefunden wurde. Dieser Akt des Versteckens von Bildern oder Nachrichten in anderen Nachrichten oder Bildern wird als Steganographie bezeichnet.“

• *

Im Fall von ZeusVM ist der Code steganografisch in den JPEG-Bildern versteckt. Der Trojaner

ZeusVm

verwendet dies, um seine Konfigurationsdateien abzurufen und zu agieren.

• *

Jerome Segura erklärt weiter, dass „das JPEG die Malware-Konfigurationsdatei enthält, die im Wesentlichen eine Liste von Skripten und Finanzinstitutionen ist – aber nicht von den Opfern selbst geöffnet werden muss. Das JPEG selbst hat sehr wenig Sichtbarkeit für den Benutzer und ist größtenteils eine Tarntechnik, um sicherzustellen, dass es aus der Sicht von Sicherheitssoftware unentdeckt bleibt.“

• *

Der ZeusVm-Trojaner ermöglicht einen Man-in-the-Middle-Angriff, bei dem der Angreifer nicht leicht zurückverfolgt werden kann. Ein Angreifer kann sensible Informationen erhalten, indem er eine Login-Seite mit WebInjects verändert. Segura sagt, dass der Besuch von bankbezogenen Websites ZeusVM aktivieren kann.

• *

Segura erklärt weiter, dass der ZeusVm-Trojaner ausführbar ist und sich tief im Computer kopiert, ähnlich wie andere replizierende Viren. ZeusVM kann auch leicht mit dem Command-and-Server kommunizieren, wenn es ein Netzwerk findet, und es kann sich auch selbst reaktivieren (automatisch neu starten), wenn der Computer neu gestartet wird.

• *

Diese Malware kann auf viele Arten verbreitet werden, aber die Verbreitung erfolgt hauptsächlich durch Phishing-E-Mails oder webbasierte Angriffe. Diese Malware kann auch über Malvertising verbreitet werden, bei dem Websites Anzeigen hosten, die Malware verbreiten. Malvertising ist die beste Methode zur Verbreitung solcher Malware, da die Malware in diesem Fall einen immer online verfügbaren, fertigen Host erhält. In dem Moment, in dem sich die Malware in die Werbung injiziert, kann sie viral gehen, basierend auf der Anzahl der Klicks, die sie generiert. Die Malvertising-Anzeigen können dann Malware durch den Internetverkehr verbreiten, den der Hacker/Angreifer durch ethische Mittel (Suchmaschinen) oder durch unrechtmäßige Mittel (Phishing-E-Mails/SPAM-Links/SPAM-Kommentare) erhalten kann.

• *

Segura hat mit weiteren Forschungen zu diesem Trojaner begonnen, um den Unterschied zwischen dem Originalbild und dem steganografierten Bild zu zeigen. In einem Blogbeitrag zeigte er zwei Bilder, die genau gleich aussahen, aber als er seine Ergebnisse zur Anzeige der Bilder im Bitmap-Modus und in einem hexadezimalen Viewer zeigte, war der Unterschied zwischen beiden Bildern deutlich sichtbar.

• *

*Segura schrieb in dem Beitrag, dass die angehängten Daten zur Erschwerung der Identifizierung mit Base64, RC4 verschlüsselt sind. Um sie zu dekodieren, kann man die Datei mit einem Debugger wie OllyDbg umkehren und die Beschreibung Routine abrufen.