Stegoloader, el malware que se esconde en archivos de imagen


Stegoloader puede ocultar su código fuente dentro de un archivo PNG plano


Los investigadores de seguridad de Dell SecureWorks han roto el proceso a través del cual el malware Stegoloader infecta y luego roba información de los ordenadores de los usuarios finales.


El malware puede tomar muchas formas hoy en día, incluso de algunas que pensamos que no sería posibles, los usuarios generalmente no esperamos encontrarnos uno dentro de los archivos de imagen.

En teoría de la informática, esta técnica se llama esteganografía y es la práctica de ocultar a la vista información dentro de otros datos.

Introduciendo a Stegoloader, el sigiloso, malware multi-tarea.

Stegoloader, también conocido como Win32 / Gatak.DR y TSPY_GATAK.GTK, es un nuevo tipo de malware. Se encontró por primera vez en el 2013, pero no atrajo ningún tipo de atención del publico de ese entonces, principalmente debido a su astuto diseño que permite que no sea detectado por muchas soluciones antivirus.

El malware tiene un diseño modular simple, que en sus primeras etapas de vida es un módulo de implementación básica encargada de llevar a cabo dos operaciones: detectar si el ordenador infectado es seguro para la descarga, y descargar el módulo principal.

Esta primera etapa de su vida es la razón principal por la que ha sido tan difícil de analizar el malware en primer lugar, Stegoloader pasa por una serie de controles básicos para ver si el equipo se está ejecutando en una PC normal o está haciendo analizado por un sistema de seguridad avanzado.

Usando una combinación de la actividad cursor del ratón, olfatea (detecta) funciones y consulta la lista de servicios activos para una serie de productos de seguridad predefinidos utilizados en ingeniería inversa, Stegoloader puede detectar fácilmente "problemas" y poner fin a su actividad antes de ser detectado.

El módulo principal se carga a través de un archivo PNG

Si los chequeos de Stegoloader son válidos, el módulo desplegará su segunda etapa y descargará el módulo principal. Esto se hace para buscar y descargar un archivo PNG, normalmente alojado en un sitio web confiable y legítimo.

Codificado en los píxeles de la imagen del archivo está el código fuente para el módulo Stegoloader principal en sí, disfrazado de "el bit menos significativo de color de cada píxel."

Este flujo de datos se unirá usando una llave codificada mediante un algoritmo RC4, que ensamblará el cargador principal de Stegoloader. Todas estas operaciones, junto con el almacenamiento del módulo principal de Stegoloader se ejecutan utilizando la memoria de la computadora, no guardará nada en el disco todo este tiempo, y al hacerlo, evitará las clásicas herramientas de análisis basadas en firmas.

En esta etapa, el módulo de despliegue se termina, y el módulo principal comienza a ejecutar una serie de tareas predefinidas, comunicandose con el servidor para obtener más instrucciones.

El módulo principal es prácticamente el eje central de todas las demás operaciones posteriores, siendo el que puede cargar otros módulos en base a qué tipo de datos se encuentra en el sistema infectado.

El malware también es capaz de entrar en suspensión por largos períodos de tiempo hasta que el servidor o las rutinas internas, lo consideren viable para reactivarse de nuevo.

Usando Stegoloader, los atacantes han sido capaces de robar contraseñas de diferentes tipos de aplicaciones, instalar otros tipos de malware, descargar el historial del navegador, ejecutar código shell, obtener listas de los archivos abiertos recientemente, y determinar la ubicación geográfica del usuario.

La eficiencia con la que puede evitar la detección de las muchas etapas de su vida hace que Stegoloader sea una amenaza muy peligrosa, y es por eso que el equipo de investigación de Dell SecureWorks ha encontrado que es bastante sorprendente la forma en que no se ha utilizado en ataques dirigidos hasta ahora.

Fuente: Softpedia