Nova Variante do Trojan Bancário Zeus Nomeada ZeusVM Encontrada Esteganografada em Imagens JPG

Jerome Segura, um pesquisador sênior de segurança da MalwareByte, diz que “Uma nova Variante do Trojan Bancário Zeus (ZeusVM) foi encontrada em arquivos de imagem JPEG (Grupo Conjunto de Especialistas em Fotografia). Este ato de ocultar imagens ou mensagens em outras mensagens ou imagens é conhecido como Esteganografia”.

• *

No caso do ZeusVM, o código está oculto nas Imagens JPEG esteganograficamente. O trojan

ZeusVm

então usa isso para recuperar seus arquivos de configuração e perpetrar.

• *

Jerome Segura explica ainda que “O JPEG contém o arquivo de configuração do Malware, que é essencialmente uma lista de scripts e instituições financeiras – mas não precisa ser aberto pela própria vítima. O JPEG em si tem muito pouca visibilidade para o usuário e é amplamente uma técnica de camuflagem para garantir que não seja detectado do ponto de vista do software de segurança”.

• *

O Trojan ZeusVm permite um ataque man-in-the-middle no qual o atacante não pode ser rastreado facilmente. Um atacante pode obter informações sensíveis alterando uma página de Login usando WebInjects. Segura diz que visitar sites relacionados a bancos pode ativar o ZeusVM.

• *

Segura explica ainda que o Trojan ZeusVm é executável e se copia profundamente dentro do computador, como outros vírus replicantes. O ZeusVM também pode se comunicar facilmente com o servidor de comando quando encontra rede e pode também reativar (reiniciar automaticamente) quando o computador reinicia.

• *

Esse Malware pode ser distribuído de várias maneiras, mas a propagação é majoritariamente através de e-mails de phishing ou ataques baseados na web. Esse Malware também pode ser espalhado via Malvertising, que envolve sites que hospedam anúncios que espalham Malware. O Malvertising é o melhor método para espalhar tais Malwares porque, no caso de sites, o malware encontra um host pronto que está sempre online. No momento em que o malware se injeta na publicidade, ele pode se tornar viral pela quantidade de cliques que gera. Os anúncios de malvertising podem então espalhar Malware através do tráfego da internet que o hacker/atacante pode obter por meios éticos (motores de busca) ou por meios ilícitos (e-mails de phishing/link de spam/comentários de spam).

• *

Segura começou mais pesquisas sobre esse Trojan e para mostrar a diferença entre a imagem original e a imagem esteganografada. Em um post no Blog, ele mostrou duas imagens que pareciam exatamente iguais, mas quando ele mostrou seu resultado de visualização das imagens em modo Bitmap e em um visualizador hexadecimal, a diferença entre ambas as imagens era claramente visível.

• *

Segura escreveu no post que, para dificultar a identificação, os dados anexados são criptografados com Base64, RC4. Para decodificar, você pode reverter o arquivo com um depurador como OllyDbg e pegar a Rotina de descrição.