Stegoloader
O Stegoloader é uma ameaça que se esconde dentro de um arquivo de imagem. Isso pode ser bastante prejudicial, já que o código ameaçador agora pode ser entregue dentro de um simples arquivo PNG de imagem. Os analistas de segurança observaram o Stegoloader trabalhando, infectando computadores e coletando dados da vítima. Como o Stegoloader é uma ameaça relativamente nova, o seu programa de segurança deve estar totalmente atualizado para detectar e remover essa nova ameaça.
Índice
A Disseminação do Stegoloader
Existem muitos tipos de ameaças. No entanto, os usuários de computador não esperam encontrar uma ameaça dentro de um arquivo de imagem. Uma ameaça pode ser distribuída usando arquivos executáveis que podem estar disfarçados de diversas maneiras. Os usuários de computador aprenderam a evitar a abertura de arquivos executáveis, especialmente arquivos EXE e DLL. Muitos usuários de computador também perceberam que as ameaças podem ser empacotadas dentro dos documentos do Microsoft Office e PDF, tomando um cuidado extra ao lidar com arquivos DOC e PDF desconhecidos. Infelizmente, a maioria dos usuários de computador não pode suspeitar de um simples arquivo de imagem no formato PNG.
O Stegoloader é empacotado usando uma técnica conhecida como esteganografia. Essa técnica envolve a ocultação de dados. O Stegoloader recebe esse nome porque o Stegoloader usa a esteganografia para ocultar o seu código ameaçador. O Stegoloader também é conhecido como Gatak, Win32/Gatak.dr and TSPY_GATAK.GTK. O Stegoloader apareceu pela primeira vez em 2013, embora o Stegoloader não tenha atraído tanta atenção. Os analistas de segurança do PC, no entanto, chamaram a atenção para as táticas sorrateiras do Stegoloader, que permitem que o Stegoloader evitae a detecção e a remoção por muitos aplicativos anti-malware no mercado.
Como o Stegoloader Funciona
Como muitas outras ameaças, o Stegoloader usa um design modular. O módulo de implantação inicial faz o primeiro contato com o computador da vítima. Ele tem duas funções: garantir que o computador da vítima seja vulnerável a ataques (ele não será se, por exemplo, um ambiente virtual for usado pelos pesquisadores de ameaças), se conectar ao seu servidor de Comando e Controle e baixar outros componentes da infecção do Stegoloader. Esse módulo de implantação dificulta que os pesquisadores de ameaças analisem o Stegoloader e criem defesas contra ele, uma vez que o Stegoloader foi desenvolvido para contornar os sistemas de segurança projetados especificamente para analisar ameaças. Algumas formas pelas quais o Stegoloader pode detectar se o Stegoloader está em um computador real ou em um ambiente virtual incluem detectar a atividade do mouse, procurar por funções e serviços e procurar por aplicativos específicos que possam ser usados para fazer a engenharia reversa de ameaças. Se o Stegoloader detectar que está em uma máquina virtual, o Stegoloader parará o seu ataque e se excluirá.
O módulo de implantação do Stegoloader faz o download do módulo principal do Stegoloader, que está contido em um arquivo PNG que pode aparecer em um site legítimo e respeitável como uma etapa extra para garantir que a ameaça seja aceita no computador da vítima. O código fonte do módulo principal do Stegoloader é codificado nos pixels do arquivo de imagem, contidos na cor de cada pixel específico. Um algoritmo de codificação e descriptografia codificados pode decodificar esses dados e formar o carregador Stegoloader, todos executados na memória do computador afetado e não salvando um arquivo no disco para evitar programas tradicionais de análise de ameaças. O módulo principal, uma vez decodificado através do arquivo de imagem, começará a realizar o seu ataque e se comunicará com o seu servidor de Comando e Controle para receber instruções adicionais.
A Carga Útil do Stegoloader
O Stegoloader é usado para coletar informações importantes dos computadores infectados. O Stegoloader pode ser usado para coletar dados, números de cartões de crédito, dados bancários e outras informações. O Stegoloader também esteve envolvido em ataques contra empresas e computadores do governo, potencialmente comprometendo informações e dados valiosos. O sistema modular do Stegoloader pode permitir que terceiros adaptem essa ameaça para várias necessidades que podem envolver o roubo de dados cruciais do computador infectado. Se você suspeitar que o Stegoloader foi instalado no seu computador, os pesquisadores de malware recomendam fortemente que você tome providências imediatas.
