Новый вариант банковского трояна Zeus, названный ZeusVM, найден в стеганографированных JPG-изображениях

Жером Сегура, старший исследователь безопасности MalwareByte, говорит, что «Новый вариант банковского трояна Zeus (ZeusVM) был найден в файле изображения JPEG (Совместная группа экспертов по фотографии). Этот акт сокрытия изображений или сообщений в других сообщениях или изображениях известен как стеганография».

• *

В случае ZeusVM код скрыт в изображениях JPEG стеганографически. Троян
ZeusVm
затем использует это для получения своих конфигурационных файлов и осуществления атак.

• *

Жером Сегура далее объясняет, что «JPEG содержит файл конфигурации вредоносного ПО, который по сути является списком скриптов и финансовых учреждений – но его не нужно открывать жертве. Сам JPEG имеет очень низкую видимость для пользователя и в значительной степени является техникой маскировки, чтобы гарантировать, что он не будет обнаружен с точки зрения программного обеспечения безопасности».

• *

Троян ZeusVm позволяет проводить атаки «человек посередине», при которых злоумышленника трудно отследить. Злоумышленник может получить конфиденциальную информацию, изменяя страницу входа с помощью WebInjects. Сегура говорит, что посещение связанных с банками веб-сайтов может активировать ZeusVM.

• *

Сегура далее объясняет, что троян ZeusVm является исполняемым и копирует себя глубоко в компьютер, как и другие вирусы-репликаторы. ZeusVM также может легко общаться с командным сервером, когда находит сеть, и может также реактивироваться (авто перезапуск) при перезагрузке компьютера.

• *

Это вредоносное ПО может распространяться различными способами, но основное распространение происходит через фишинговые электронные письма или веб-атаки. Это вредоносное ПО также может распространяться через Malvertising, который включает в себя веб-сайты, размещающие рекламу, распространяющую вредоносное ПО. Malvertising является лучшим методом для распространения таких вредоносных программ, потому что в случае веб-сайтов вредоносное ПО получает готовый хост, который всегда онлайн. В момент, когда вредоносное ПО внедряется в рекламу, оно может стать вирусным благодаря количеству кликов, которые оно генерирует. Рекламные объявления malvertising затем могут распространять вредоносное ПО через интернет-трафик, который хакер/злоумышленник может получить как законными способами (поисковые системы), так и незаконными способами (фишинговые письма/спам-ссылки/спам-комментарии).

• *

Сегура начал больше исследований по этому трояну и чтобы показать разницу между оригинальным изображением и стеганографированным изображением. В блоге он показал два изображения, которые выглядели абсолютно одинаково, но когда он показал свои результаты просмотра изображений в режиме Bitmap и в шестнадцатеричном просмотрщике, разница между обоими изображениями была явно видна.

• *

Сегура написал в посте, что для усложнения идентификации добавленные данные шифруются с помощью Base64, RC4. Чтобы декодировать, вы можете обратить файл с помощью отладчика, такого как OllyDbg, и получить описание процедуры.