Stegoloader: Modulare Malware versteckt Schadcode in Bildern

Die Stegoloader genannte Schadsoftware ist seit 2013 im Umlauf. Sie kann persönliche Informationen wie Passwörter stehlen. Um einer Erkennung zu entgehen, speichert Stegoloader keinerlei Daten auf der Festplatte.

Die Counter Threat Unit (CTU) der Dell-Tochter SecureWorks hat eine bisher unbekannte modulare Schadsoftware entdeckt. Sie versteckt Schadcode in Bildern und ist in der Lage, unter anderem Passwörter und Standortdaten zu stehlen. Die Nutzung von digitaler Steganographie erschwert es herkömmlichen Sicherheitstools, die Malware zu erkennen.

Die als Stegoloader bezeichnete Malware-Familie ist laut CTU mindestens seit 2013 aktiv. Bisher wurde sie über illegale Softwarekopien und Schlüsselgeneratoren für Kaufsoftware verteilt. Nach der Installation lade Stegoloader ein Foto im PNG-Format von einer legitimen Website herunter und extrahiere den darin enthaltenen Code, um sein Hauptmodul auszuführen.

Beispiel eines Stegoloader-Bilds mit verschlüsselten Inhalten (Bild: Dell SecureWorks)Beispiel eines Stegoloader-Bilds mit verschlüsselten Inhalten (Bild: Dell SecureWorks)

Weitere Module des Schadprogramms fragen die öffentliche IP-Adresse eines infizierten Rechners ab oder greifen auf die Listen der zuletzt besuchten Websites und geöffneten Dokumente zu. Das modulare Design erschwert es den Sicherheitsexperten zufolge zudem, die wahren Motive der Angreifer zu erkennen.

Bisher wurde Stegoloader offenbar für Angriffe auf den Gesundheits- und Bildungssektor sowie Industriebetriebe eingesetzt. Die Forscher vermuten, dass es den Hintermännern in erster Linie um persönliche Informationen ging, die sie für künftige Attacken verwenden können.

Einer Host- und Netzwerk-basierten Erkennung entgeht Stegoloader, weil die Malware keine Dateien auf der Festplatte speichert und vollständig im Hauptspeicher ausgeführt wird. Derartiges Verhalten sei bisher nur bei den Malware-Familien Lurk und Neverquest beobachtet worden, so die Forscher.

„Stegoloader entgeht Analyse-Tools und installiert nur die notwendigen Module, ohne sie auf der Festplatte zu speichern“, schreiben die Forscher in ihrem Bericht. „Es gibt wahrscheinlich mehr Stegoloader-Module, als CTU-Forscher bisher entdeckt haben. Sie werden möglicherweise von den Hintermännern benutzt, um Zugang zu weiteren Ressourcen zu erhalten.“ Bisher sei Stegoloader zwar noch nicht für zielgerichtete Attacken eingesetzt worden, die Malware verfüge aber über vielfältige Funktionen zum Diebstahl von Informationen.

[mit Material von Steve McCaskill, TechWeekEurope]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Dell, Malware, SecureWorks, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Stegoloader: Modulare Malware versteckt Schadcode in Bildern

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *