Nueva variante del troyano bancario Zeus llamada ZeusVM encontrada esteganografiada en imágenes JPG

Jerome Segura, un investigador de seguridad senior de MalwareByte, dice que “Una nueva variante del troyano bancario Zeus (ZeusVM) ha sido encontrada en un archivo de imagen JPEG (Grupo Conjunto de Expertos en Fotografía). Este acto de ocultar imágenes o mensajes en otros mensajes o imágenes se conoce como Esteganografía”.

• *

En el caso de ZeusVM, el código está oculto en las imágenes JPEG de manera esteganográfica. El troyano

ZeusVm

utiliza esto para recuperar sus archivos de configuración y perpetrar.

• *

Jerome Segura explica además que “El JPEG contiene el archivo de configuración del malware, que es esencialmente una lista de scripts e instituciones financieras, pero no necesita ser abierto por la víctima misma. El JPEG en sí tiene muy poca visibilidad para el usuario y es en gran medida una técnica de camuflaje para asegurar que no sea detectado desde el punto de vista del software de seguridad”.

• *

El troyano ZeusVm permite un ataque de hombre en el medio en el que el atacante no puede ser rastreado fácilmente. Un atacante puede obtener información sensible alterando una página de inicio de sesión utilizando WebInjects. Segura dice que visitar sitios web relacionados con la banca puede activar el ZeusVM.

• *

Segura explica además que el troyano ZeusVm es ejecutable y se copia a sí mismo profundamente dentro de la computadora. Al igual que otros virus replicantes, ZeusVM también puede comunicarse fácilmente con el servidor de comando y puede reactivarse (reiniciarse automáticamente) cuando la computadora se reinicia.

• *

Este malware puede ser distribuido de muchas maneras, pero la propagación es principalmente a través de correos electrónicos de phishing o ataques basados en la web. Este malware también puede propagarse a través de Malvertising, que implica sitios web que alojan anuncios que propagan malware. El malvertising es el mejor método para propagar tales malwares porque, en el caso de los sitios web, el malware obtiene un anfitrión listo que siempre está en línea. En el momento en que el malware se inyecta en la publicidad, puede volverse viral por la cantidad de clics que genera. Los anuncios de malvertising pueden luego propagar malware a través del tráfico de internet que el hacker/atacante puede obtener a través de medios éticos (motores de búsqueda) o a través de medios ilícitos (correos de phishing/enlaces de spam/comentarios de spam).

• *

Segura ha comenzado más investigaciones sobre este troyano y para mostrar la diferencia entre la imagen original y la imagen esteganografiada. En una publicación de blog, mostró dos imágenes que se veían exactamente iguales, pero cuando mostró su resultado de ver las imágenes en modo Bitmap y en un visor hexadecimal, la diferencia entre ambas imágenes era claramente visible.

• *

Segura escribió en la publicación que para hacer la identificación más difícil, los datos añadidos están encriptados con Base64, RC4. Para decodificar, puedes revertir el archivo con un depurador como OllyDbg y obtener la rutina de descripción.