Categories: SicherheitVirus

Stegoloader: Modulare Malware versteckt Schadcode in Bildern

Die Counter Threat Unit (CTU) der Dell-Tochter SecureWorks hat eine bisher unbekannte modulare Schadsoftware entdeckt. Sie versteckt Schadcode in Bildern und ist in der Lage, unter anderem Passwörter und Standortdaten zu stehlen. Die Nutzung von digitaler Steganographie erschwert es herkömmlichen Sicherheitstools, die Malware zu erkennen.

Die als Stegoloader bezeichnete Malware-Familie ist laut CTU mindestens seit 2013 aktiv. Bisher wurde sie über illegale Softwarekopien und Schlüsselgeneratoren für Kaufsoftware verteilt. Nach der Installation lade Stegoloader ein Foto im PNG-Format von einer legitimen Website herunter und extrahiere den darin enthaltenen Code, um sein Hauptmodul auszuführen.

Beispiel eines Stegoloader-Bilds mit verschlüsselten Inhalten (Bild: Dell SecureWorks)

Weitere Module des Schadprogramms fragen die öffentliche IP-Adresse eines infizierten Rechners ab oder greifen auf die Listen der zuletzt besuchten Websites und geöffneten Dokumente zu. Das modulare Design erschwert es den Sicherheitsexperten zufolge zudem, die wahren Motive der Angreifer zu erkennen.

Bisher wurde Stegoloader offenbar für Angriffe auf den Gesundheits- und Bildungssektor sowie Industriebetriebe eingesetzt. Die Forscher vermuten, dass es den Hintermännern in erster Linie um persönliche Informationen ging, die sie für künftige Attacken verwenden können.

Einer Host- und Netzwerk-basierten Erkennung entgeht Stegoloader, weil die Malware keine Dateien auf der Festplatte speichert und vollständig im Hauptspeicher ausgeführt wird. Derartiges Verhalten sei bisher nur bei den Malware-Familien Lurk und Neverquest beobachtet worden, so die Forscher.

„Stegoloader entgeht Analyse-Tools und installiert nur die notwendigen Module, ohne sie auf der Festplatte zu speichern“, schreiben die Forscher in ihrem Bericht. „Es gibt wahrscheinlich mehr Stegoloader-Module, als CTU-Forscher bisher entdeckt haben. Sie werden möglicherweise von den Hintermännern benutzt, um Zugang zu weiteren Ressourcen zu erhalten.“ Bisher sei Stegoloader zwar noch nicht für zielgerichtete Attacken eingesetzt worden, die Malware verfüge aber über vielfältige Funktionen zum Diebstahl von Informationen.

[mit Material von Steve McCaskill, TechWeekEurope]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.