Nuova variante del Trojan bancario Zeus chiamata ZeusVM trovata steganografata in immagini JPG

Jerome Segura, un ricercatore senior di sicurezza di MalwareByte, afferma che “Una nuova variante del Trojan bancario Zeus (ZeusVM) è stata trovata in un file immagine JPEG (Joint Photographic Experts Group). Questo atto di nascondere immagini o messaggi in altri messaggi o immagini è noto come Steganografia”.

• *

Nel caso di ZeusVM, il codice è nascosto nelle immagini JPEG in modo steganografico. Il trojan

ZeusVm

utilizza quindi questo per recuperare i suoi file di configurazione e perpetrare.

• *

Jerome Segura spiega ulteriormente che “Il JPEG contiene il file di configurazione del malware, che è essenzialmente un elenco di script e istituzioni finanziarie – ma non deve essere aperto dalla vittima stessa. Il JPEG stesso ha pochissima visibilità per l’utente ed è in gran parte una tecnica di occultamento per garantire che non venga rilevato da un punto di vista del software di sicurezza”.

• *

Il Trojan ZeusVm consente un attacco man-in-the-middle in cui l’attaccante non può essere facilmente rintracciato. Un attaccante può ottenere informazioni sensibili alterando una pagina di accesso utilizzando WebInjects. Segura afferma che visitare siti web legati alle banche può attivare il ZeusVM.

• *

Segura spiega ulteriormente che il Trojan ZeusVm è eseguibile e si copia in profondità all’interno del computer come altri virus replicanti; ZeusVM può anche comunicare facilmente con il server di comando quando trova una rete e può anche riattivarsi (riavviarsi automaticamente) quando il computer si riavvia.

• *

Questo malware può essere distribuito in molti modi, ma la diffusione avviene principalmente tramite email di phishing o attacchi basati sul web. Questo malware può anche essere diffuso tramite Malvertising, che coinvolge siti web che ospitano annunci che diffondono malware. Il malvertising è il miglior metodo per diffondere tali malware perché nel caso dei siti web, il malware ottiene un host già pronto che è sempre online. Il momento in cui il malware si inietta nella pubblicità, può diventare virale grazie al numero di clic che genera. Gli annunci di malvertising possono quindi diffondere malware attraverso il traffico internet che l’hacker/attaccante può ottenere tramite mezzi etici (motori di ricerca) o tramite mezzi illeciti (email di phishing/link di spam/commenti di spam).

• *

Segura ha avviato ulteriori ricerche su questo Trojan e per mostrare la differenza tra l’immagine originale e l’immagine steganografata. In un post sul blog ha mostrato due immagini che sembravano esattamente uguali, ma quando ha mostrato il suo risultato di visualizzazione delle immagini in modalità Bitmap e in un visualizzatore esadecimale, la differenza tra le due immagini era chiaramente visibile.

• *

Segura ha scritto nel post che per rendere l’identificazione più difficile, i dati aggiunti sono crittografati con Base64, RC4. Per decodificare, puoi invertire il file con un debugger come OllyDbg e acquisire la Routine di descrizione.