隐写术再现:图片木马Stegoloader攻击美国医保公司

2015-06-29 +4 278307人围观 ,发现 8 个不明物体 资讯

TROJ_GATAK下载的图片

Stegoloader病毒正在使用“图片隐写术”肆虐全球的计算机系统,根据目前掌握的数据,其主要攻击目标是美国医疗保障公司。

隐写术:隐藏于图片中的病毒

几周前,戴尔SecureWorks的安全研究人员发现了一种新病毒,命名为Stegoloader,这款病毒会使用隐写术作为躲避杀软的方法。一旦感染了受害者的计算机,一个加载模块就会从一个正规网站加载含有恶意代码的PNG图片。FreeBuf之前也有过相关报道,点我了解更多

Stegoloader自2012年开始出现,它被用来攻击不同行业的系统,包括医保、教育和制造业:

 “通过观察Stegoloader最近的受害者,我们发现最近3个月大部分被感染的机器来自美国(66.82%),之后是智利(9.10%),马来西亚(3.32%),挪威(2.09%)和法国(1.71%)。”

攻击医保公司

安全研究人员猜测Stegoloader可能被用来攻击医保公司,黑客试图获取医疗记录。与此同时,研究人员发现了几个不同的Stegoloader,恶意软件在几个月里不断革新,但是变体中的例行程序几年了还是没有变。

受害主要是因为从第三方网站下载注册机而感染病毒的,而非钓鱼网站或钓鱼攻击工具包。

一经下载,病毒会伪装成有关Skype或Google Talk的正规文件,下载含有恶意程序的照片文件。

Stegoloader会使用多种规避手段避免被执法部门和安全厂商调查,比如它会检查它不是处在(杀毒软件的)调试环境中。

病毒样本

以下是Stegoloader病毒的一些SHA1校验值:

TROJ_GATAK.SMJV

bce6a9368f7b90caae295f1a3f4d3b55198be2e2
b8db99cf9c646bad027b34a66bb74b8b0bee295a
d5d0a9ecf1601e9e50eef6b2ad25c57b56419cd1

TROJ_GATAK.SMN

2d979739fbf4253c601aed4c92f6872885f73f77
11f25bee63a5493f5364e9578fa8db9ed4c4b9c9

* 参考来源SecurityAffairs,vulture翻译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

这些评论亮了

  • 蓝翔大黑阔看到这个分析笑而不语:难道你们不知道微软的桌面图片早已经被蓝翔大黑阔嵌入恶意代码了吗?由于这是用蓝翔自己开发的LX++语言编写的,由于技术太过于先进,世界各大安全厂商根本发现不了,现在知道为什么我们兰总不管怎么被举报都稳坐江山吗?青年们你们太可爱太年轻了
    )25( 亮了
发表评论

已有 8 条评论

取消
Loading...

特别推荐

推荐关注

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php