Skjuler kode i JPG-bilder

Bankrøveren Zeus tar i bruk steganografi.

Sikkerhetsforskere fant Zeus-trojanerens konfigurasjonsfiler skjult i et bilde som dette.
Sikkerhetsforskere fant Zeus-trojanerens konfigurasjonsfiler skjult i et bilde som dette.
19. feb. 2014 - 08:59

Den beryktede Zeus-trojaneren har kapret millioner av pc-er i botnett og rundstjålet nettbankkunder siden 2007, da den første gang dukket opp.

Skadevaren har vært solgt som en nettjeneste i underverden. Kildekoden lekket ut noen år tilbake og det finnes utallige varianter, både kloner og avarter, inkludert angrep spesielt rettet mot Norge.

Nå er det funnet en ekstra slu Zeus-utgave som tar i bruk steganografi, en form for kryptering, for å skjule seg og gjøre infeksjon vanskeligere å avsløre.

Steganografi er en teknikk for å kamuflere blant annet tekst, som oftest i bilder. Også bilder kan gjemmes i bilder slik at de ikke synes for de som ikke vet hvordan innholdet hentes tilbake.

ZeusVM, som den nye utgaven er døpt, tar i bruk JPG-bilder for å laste ned sin konfigurasjonsfil. Dette er en sentral komponent med instruksjoner for hvilke nettbanker og domener skadevaren skal rettes mot.

Ved å sammenligne originalbildet med det manipulerte bildet fant forskerne steganografisk kode lagt til på slutten av bildefilen.
Ved å sammenligne originalbildet med det manipulerte bildet fant forskerne steganografisk kode lagt til på slutten av bildefilen.

Det forklarer sikkerhetsekspert Jerome Segura i Malwarebytes i et blogginnlegg. Han gir en fransk kollega, som blogger under pseudonymet Xylitol æren for først å ha oppdaget tilfellet.

– Ved å skjule ondsinnet kode på denne måten kan det være mulig å unngå signaturbasert snokvern (Intrusion Detection Systems, IDS) og selv antivirus. For en webansvarlig vil slike bilder fremstå som harmløse, skriver Segura.

I dette tilfellet skal de manipulerte bildefilene tilsynelatende ha fremstått som uskadede, og dermed kunne vises på vanlig måte, selv om de nødvendigvis var en del større enn originalbildet.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.