У Мережі воскрес троян, що ховається в картинках PNG

Дослідники з SecureWorks (дочірня компанія Dell, придбана у 2011 р.) повідомили про активізацію трояна Stegoloader, що зберігає свої модулі у PNG-зображеннях. За останні три місяці найбільша кількість заражень припала на компанії у сфері охорони здоров'я (42%), фінансові інститути (13%), виробничі підприємства (9%), підприємства у нафтогазовій галузі та ІТ-компанії (по 3%), згідно з Trend Micro.

За даними аналітиків, найбільше заражень зафіксовано у США (67%), Чилі (9%), Малайзії (3%), Норвегії та Франції (по 2%).

Троян Stegoloader (відомий також під назвою Win32/Gatak.DR та Tspy_Gatak.GTK) поширюється за допомогою піратських ресурсів у генераторах ключів до програмного забезпечення (наприклад, Avanquest_PowerDesk_9_0_1_10_keygen.exe). Після того, як Stegoloader потрапляє в систему, він підвантажує із безпечних джерел PNG-зображення з модулями, захованими в них за допомогою техніки під назвою «стеганографія». Різні модулі трояна відповідають за його різну функціональність.

Завантажені трояном зображення формату PNG виглядають цілком звичайними, але в їх пікселях записаний код модулів Stegoloader. Зчитуючи цей код та підключаючи модулі, троян «збирає» себе прямо в оперативній пам'яті персонального комп'ютера.

Хід підключення модулів відправляється на командно-контрольний сервер зловмисників за допомогою HTTP-запитів. З цього сервера троян отримує команди виконання.

ховається
Приклад PNG-картинки зі схованим у неї кодом модуля для трояна Stegoloader

Після того, як троян «зібрався», він починає викрадати з комп'ютера і відправляти на віддалений сервер різну інформацію, включаючи історію веб-серфінгу, паролі, списки нещодавно відкритих документів і т. д. Один з модулів призначений дляпошуку на комп'ютері даних про аналіз загроз, який спеціалісти з інформаційної безпеки проводять за допомогою спеціального програмного забезпечення.

Stegoloader оснащений безліччю механізмів захисту від виявлення. Перед підключенням шкідливих модулів завантажувач перевіряє, чи не знаходиться він у середовищі емулятора антивірусної програми. Наприклад, він посилає безліч запитів до функції визначення позиції курсора миші GetCursorPos. Якщо значення цієї функції константа, завантажувач миттєво припиняє свою роботу. Таким чином, антивірус не бачить жодної підозрілої активності, пояснили у SecureWorks.

Фахівці Trend Micro вважають, що техніка приховування шкідливого коду у зображеннях (стеанографія) з часом набиратиме все більшої популярності. У той же час, аналітики не думають, що вказаний метод буде застосовуватися для широкомасштабних атак.