宙斯/ ZBOT Trojan是有史以来最臭名昭着的银行业特洛伊木马;它非常受欢迎,它让许多分支和副本疾病诞生了。
宙斯的特殊性是它充当“浏览器“允许网络骗子从受害者那里收集个人信息偷偷摸摸执行在线交易。
一个新的变体在这个特洛伊木马,被称为Zeusvm,正在使用图像作为诱饵来检索其配置文件,这是一个正常操作的重要件。
法国安全研究员木糖醇在一个恶意运动中注意到了一些奇怪的奇怪报道几周前。
恶意软件正在检索在与其他恶意软件组件相同的服务器上托管的JPG映像。
后来给我发了一条关于这个新变种如何使用的信息隐写术,一种技术,允许在不损坏现有文件的情况下伪装数据的数据。
在接下来的几周内,我们换了一些更多的电子邮件,因为他发现了呈现相同行为的其他样本。
好奇地对这个新的伎俩,我决定更接近地学习其中一个图片,以更好地了解正在发生的事情。
这是一个美丽的日落情况,你永远不会猜测用于偷钱的代码隐藏在这个图片中:
有各种工具可以分析图片,但是一个简单的方法可以找到它的精确副本,然后将其与您拥有的那个进行比较。
为此,我做了一个Google映像搜索,直接上传了可疑的JPG:
一旦匹配,可以选择具有相同宽度和高度的选择。当然,这种技术可能并不总是有效,但在这种情况下,坏人只是挑选了一张他们在网上发现的照片,从而使我的工作更容易。
如果我们将两张图片(原始和更改的一个)并排并以位图模式查看,我们可以发现添加额外数据的位置。
使用十六进制查看器,我们可以看到图片的代码结束,其中隐藏数据开始(突出显示):
所以这是我们的数据,虽然此时它不是人类可读:
要使标识更加困难,所附数据已加密Base64.那RC4.和XOR.。要解码它,您可以使用调试器撤消文件,例如奥利德布并抓住解密程序。或者,您可以使用泄漏的Zeus源代码创建自己的模块,该模块将解压缩数据块。
解密的配置文件显示哪些银行和金融机构有针对性:
其中一个是德国银行(德国),这就是登录页面的样子:
当受感染的用户加载他们的银行业网站时,特洛伊木马开始充当中间人,可以完全自行决定清空他的银行账户。自客户被妥善认证以来,该银行不能告诉这些是非法货币转移。
这不是我们第一次看到恶意软件嵌入无害文件中的数据。不久前,网站安全公司Sucurii披露如何在其元数据中包含无辜的PNG文件。
以这种方式隐藏恶意代码可以成功绕过基于签名的入侵检测系统甚至防病毒软件。从网站管理员的角度来看,图像(尤其是可以查看的图像)会出现无害的。
它提醒一下,不应该被认为是安全的,因为它似乎是合法的图片,歌曲或电影。
有趣的是,隐写术本身是一个非常古老的练习:在古希腊,雕刻在木头上的秘密指示被蜡覆盖着蜡,在其中一个无辜的消息将欺骗任何局外人。
在这方面,坏人不是真正创新者本身,他们只是将旧技巧应用于现代技术;这就是我们的工作进入发挥的地方,因为解决难题和创造它们一样有趣。
评论