Il malware bancario Zeus racchiude un file cruciale in una foto

Una variante recentemente scoperta del famigerato trojan bancario Zeus sta nascondendo un codice di configurazione cruciale in una foto digitale, una tecnica nota come steganografia.

Zeus è uno degli strumenti più efficaci per rubare dettagli bancari online, dirottare i dettagli di accesso mentre una persona accede al proprio account e mascherare i trasferimenti segreti in background.

La variante, denominata ZeusVM, scarica un file di configurazione che contiene i domini delle banche in cui il malware è incaricato di intervenire durante una transazione, ha scritto Jerome Segura, un ricercatore senior di sicurezza con Malwarebytes. Ha scritto che il comportamento è stato notato per la prima volta da un ricercatore di sicurezza francese che scrive con il nome di Xilitolo.

"Il malware stava recuperando un'immagine jpg ospitata sullo stesso server di altri componenti malware", ha scritto Segura.

La steganografia è stata a lungo utilizzata dagli autori di software dannoso. Incorporando il codice in un formato di file che sembra legittimo, è possibile che il software di sicurezza dia il via libera al file.

"Dal punto di vista del webmaster, le immagini (specialmente quelle che possono essere visualizzate) sembrerebbero innocue", ha scritto Segura.

L'immagine sospetta sembra essere molto più grande rispetto a una identica in modalità bitmap, ha scritto. I dati aggiunti dai criminali informatici erano stati crittografati utilizzando la codifica Base64 e quindi gli algoritmi di crittografia RC4 e XOR.

Quando viene decrittografato, il file mostra le banche prese di mira, tra cui Deutsche Bank, Wells Fargo e Barclays.

Invia suggerimenti e commenti su [email protected] Seguimi su Twitter: @jeremy_kirk

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.