O 'Stegoloader' um Malware que Rouba Dados Evita Detecção se Escondendo nos Arquivos de Imagem

As infecções por malware são conhecidas por assumirem muitas formas diferentes, considerando a sofisticação que muitas ameaças recentes reuniram graças aos seus astutos autores. Comparando-se o malware hoje ao que o malware era há apenas alguns anos, algumas ameaças dificilmente serão reconhecidas pelos parâmetros de ontem.

A insurgência de ameaças de malwares inteligentes pegou muitos desprevenidos, incluindo muitos pesquisadores de segurança dos computadores. Como tal, a nova ameaça de malware conhecida como Stegoloader, também conhecida como Win32/Gatak.DR ou TSPY_GATAK.GTK, usa um método que evita a detecção através da sua capacidade de se esconder nos arquivos de imagem em um computador infectado.

A configuração modular básica do Stegoloader é uma das primeiras opções para a implantação inicial, ocultando o seu módulo principal nos arquivos de imagem. O Stegoloader é tão avançado que passa por um processo para detectar se o PC em que está instalado é um sistema normal ou um software de análise de segurança em execução.

Através do uso de uma combinação de funções de sniffing (uma prática que, utilizando uma ferramenta genericamente chamada sniffer, intercepta e registra o tráfego de dados e é capaz de decodificar o conteúdo trocado entre os computadores de uma rede), tais como a detecção de movimentos do cursor do mouse ou a descoberta de produtos de segurança específicos instalados no sistema, o Stegoloader pode decidir encerrar as suas atividades para evitar ser detectado. Além disso, o Stegoloader impede que o seu módulo principal seja implementado até que essas verificações sejam concluídas. Uma vez que tudo esteja claro, o Stegoloader pode então implantar o seu módulo principal para realizar atividades maliciosas predefinidas no computador infectado ou conectar-se ao seu servidor para obter instruções adicionais.

Malware como o Stegoloader tem vários componentes que o diferenciam da maioria das ameaças conhecidas. Esses recursos, incluindo a sua capacidade de permanecer inativo em um sistema por longos períodos de tempo, podem levar a sérios problemas e à destruição total de um sistema infectado.

As atividades maliciosas que o Stegoloader carrega são muitas. Algumas dessas ações acabarão permitindo que os hackers roubem senhas de vários aplicativos, execute o shellcode (um código executado na exploração de vulnerabilidades), obtenha uma lista de arquivos abertos recentemente, descubra e exponha a localização geográfica do sistema infectado, faça o download dos históricos de navegadores da Web e até instale outros tipos de malware.

Não há dúvidas sobre a gravidade e os perigos em potencial do Stegoloader. Na sua infância, em 2013, o Stegoloader não passava de uma ameaça que tentava atrair a atenção do público. Naquela época, o Stegoloader não tinha a capacidade de executar a infinidade de funções que pode agora, o que provavelmente é o motivo pelo qual os especialistas em segurança não procuraram métodos adicionais para detectar a ameaça naquele momento.

Como se pode constatar, o Stegoloader é agora um malware altamente eficiente e potencialmente destrutivo que pode se transformar em diferentes objetos para evitar ser detectado. Isso não apenas torna o Stegoloader uma ameaça popular, mas pode causar um sério golpe em inúmeros computadores infectados, sem obstruções aparentes na sua estrada por meio de detecção e remoção. Até que todos os pesquisadores de segurança tenham criado soluções de detecção e remoção para o Stegoloader, é prudente utilizar medidas proativas para evitar a infecção do Stegoloader.