محققان امنیتی هشدار داده اند که یک خانواده از نرم افزارهای مخرب در حال توسعه اند که میتوانند روند جدید و در حال ظهوری در امنیت سایبر باشند. این بد افزارها از پنهان نگاری دیجیتال برای مخفی سازی کدهای مخرب استفاده میکنند که این روش کمتر شناخته شده است.
Dell SecureWorks یافتههای جدیدش را در یک گزارش تحت عنوان " Stegoloader: A Stealthy Information Stealer " منتشر کرده است. در این گزارش جزئیات این خانواده از نرم افزارهای مخرب که برای اولین بار در سال ۲۰۱۳ شناسایی شده اند، بررسی میشود. اگر چه قبلا در جامعه کلاه سفید نیز مورد بحث قرار گرفته اند.
این بدافزار با ویژگیهای کلیدی که آنالیز و شناسایی را دشوار میکنند، طراحی شده است. در نتیجه امکان افشا را در برابر بازرسی و تحلیل کاهش میدهد. تا کنون فقط توزیع شدن از طریق سایتهای سرقت ادبی نرم افزار، به همراه license key generators مشاهده شده است.
بدین گونه که ابتدا بر روی دستگاه قربانی قرار میگیرد، سپس هسته ی اصلیش (یک تصویر PNG حاوی کدهای مخرب رمزگذاری شده) که در وب سایتهای قانونی و مجاز قرار دارد، را دانلود میکند. بدافزار در هر بار اجرا، این تصویر را دانلود کرده و از پنهان نگاری برای استخراج کد از تصویر استفاده مینماید، بنابراین هرگز در دیسک سخت ذخیره نمی شود. این مساله شناسایی و تشخیص را دشوار میکند.
سپسStegoloader به جمع آوری اطلاعات در مورد دستگاه قربانی میپردازد و برای سرور C & C ارسال میکند. اگر هدف مهم به نظر برسد، هکر پس از آن بر روی طرح حمله و سرقت اطلاعات حساس از دستگاه قربانی کار خواهد کرد.
مولفههای مختلف موجود در بد افزار شامل به دست آوردن آدرس IP دستگاه قربانی برای بررسی موقعیت جغرافیایی، ارسال یک لیست از اسنادی که به تازگی باز شده اند به مهاجم و جمع آوری کلمه عبور برای برنامههای مختلف، میباشد.
Dell SecureWorks ادعا کرد که امکان دارد مولفههای بیشتری که قابلیتهای اضافی را ارائه میکنند، وجود داشته باشد که محققان هنوز آنها را کشف نکرده اند، و همچنین اضافه کرد که گر چه محققان CTU هنوز استفاده از Stegoloader در حملات هدفمند را مشاهده نکرده اند، اما این مورد قابلیت سرقت اطلاعات قابل توجهی را دارد.
Stegoloader سومین خانواده از نرم افزارهای مخرب استفاده کننده از تکنیکهای پنهان نگاری اند که محققان CTU به تحلیل آنها پرداخته اند. این روش ممکن است روندی جدید باشد چون سازندگان نرم افزارهای مخرب نیاز دارند تا در مقابل مکانیسمهای تشخیص بهبود یافته توسعه یابند.
منبع:
Muncaster, P. (2015, Jun 16). Stegoloader Malware Hides in Images on Legit Sites. Retrieved Jun 26, 2015, from Infosecurity Magazine: http://www.infosecurity-magazine.com/news/stegoloader-malware-hides-in/