Οι απατεώνες καταφεύγουν σε μεθόδους στεγανογραφίας και χρήση fileless malware για την επίτευξη των στόχων τους
Οι οργανισμοί υγείας των ΗΠΑ αντιπροσωπεύουν το μεγαλύτερο μέρος των θυμάτων – στόχων του Trojan Stegoloader, ενός επικίνδυνου κακόβουλου λογισμικού που ενσωματώνει τον κώδικά του σε αρχεία εικόνων PNG, σε μια προσπάθεια να αποφύγει τους μηχανισμούς ανίχνευσης σε επίπεδο δικτύου (network) και δικτύου host.
Σύμφωνα με εμπειρογνώμονες ασφάλειας, ο μεγαλύτερος αριθμός των μολύνσεων εντοπίζεται στην Βόρεια Αμερική, επηρεάζοντας οντότητες σε διάφορους τομείς, συμπεριλαμβανομένων επιχειρήσεων του χρηματοοικονομικού, κατασκευαστικού και τεχνολογικού κλάδου, καθώς και επιχειρήσεων πετρελαίου και φυσικού αερίου.
Το Stegoloader, το οποίο αναφέρθηκε πρόσφατα από την Dell SecureWorks, είναι επίσης γνωστό ως Gatak. Η αρχιτεκτονική του είναι αρθρωτή (modular), πράγμα που σημαίνει ότι η λειτουργικότητά του μπορεί να επεκταθεί, ώστε να χρησιμοποιηθεί ανά περίσταση, ανάλογα με τους σκοπούς των εγκληματιών του κυβερνοχώρου.
[signoff icon=”icon-target”]Η απειλή επισημάνθηκε για πρώτη φορά στα τέλη του 2013, και έκτοτε εμφανίστηκαν πολλαπλές, εξελιγμένες παραλλαγές, όλες σχεδιασμένες για να υποκλέπτουν πληροφορίες από τα μολυσμένα συστήματα.[/signoff]
Η τεχνική που χρησιμοποιείται από τους δημιουργούς του Trojan ονομάζεται στεγανογραφία, και χρησιμοποιείται συνήθως σε malware για την ενημέρωση των αρχείων ρυθμίσεων, ή ακόμη και για την παράδοση κακόβουλου λογισμικού. Παρόλο που η συγκεκριμένη μέθοδος δεν είναι καινούρια, δεν είναι ευρέως διαδεδομένη ως τεχνική επίθεσης.
Μια ακόμη τακτική που χρησιμοποιείται από τους συγγραφείς του trojan για την αποφυγή του εντοπισμού του, είναι η εκτέλεση των κακόβουλων modules στη μνήμη του υπολογιστή. Η εικόνα PNG ή ο κώδικας που εξάγεται από αυτή και αποκρυπτογραφείται, δεν αποθηκεύονται στο σκληρό δίσκο, δεν αφήνουν κανένα ίχνος μόλυνσης στη μονάδα αποθήκευσης και διαφεύγουν την ανίχνευση μέσω της ανάλυσης της υπογραφής δίσκου (disk signature).
Σύμφωνα με δεδομένα τηλεμετρίας της Trend Micro, το 42,65% των θυμάτων του Stegoloader προέρχονται από τον τομέα της υγειονομικής περίθαλψης, ενώ ακολουθούν οι οργανισμοί του χρηματοπιστωτικού τομέα, με ποσοστό 12,81%.
Ο Ηοmer Pacag, μηχανικός ασφάλειας της Trend Micro, πιστεύει ότι η στεγανογραφία μπορεί να χρησιμοποιηθεί δημιουργικά στο μέλλον από τους εγκληματίες του κυβερνοχώρου που διερευνούν νέους τρόπους για την πραγματοποίηση επιθέσεων έναντι φορέων της υγειονομικής περίθαλψης με σκοπό την υποκλοπή ιατρικών δεδομένων.
