Zeus Banking Malware schmiegt eine wichtige Datei in ein Foto

Eine neu entdeckte Variante des berüchtigten Zeus-Banking-Trojaners verschleiert einen entscheidenden Konfigurationscode in einem digitalen Foto, einer als Steganographie bekannten Technik.

Zeus ist eines der effektivsten Tools, um Online-Banking-Daten zu stehlen, Anmeldedaten zu entführen, wenn eine Person auf ihr Konto zugreift, und geheime Überweisungen im Hintergrund zu maskieren.

Die Variante mit dem Namen ZeusVM lädt eine Konfigurationsdatei herunter, die die Domänen von Banken enthält, in die die Malware während einer Transaktion eingreifen soll, schrieb Jerome Segura, ein leitender Sicherheitsforscher bei Malwarebytes. Er schrieb, das Verhalten sei erstmals von einem französischen Sicherheitsforscher bemerkt worden, der unter dem Namen Xylitol schreibt.

"Die Malware hat ein jpg-Image abgerufen, das auf demselben Server gehostet wurde wie andere Malware-Komponenten", schrieb Segura.

Steganographie wird seit langem von Autoren bösartiger Software verwendet. Durch das Einbetten von Code in ein Dateiformat, das legitim aussieht, besteht die Möglichkeit, dass die Datei von Sicherheitssoftware grünes Licht erhält.

"Aus Sicht des Webmasters erscheinen Bilder (insbesondere solche, die angezeigt werden können) harmlos", schrieb Segura.

Das verdächtige Bild scheint im Vergleich zu einem identischen im Bitmap-Modus viel größer zu sein, schrieb er. Die von den Cyberkriminellen hinzugefügten Daten wurden mit Base64-Codierung und anschließend mit RC4- und XOR-Verschlüsselungsalgorithmen verschlüsselt.

Nach der Entschlüsselung werden in der Datei die Zielbanken angezeigt, darunter die Deutsche Bank, Wells Fargo und Barclays.

Senden Sie Tipps und Kommentare zu Nachrichten an [email protected] Folgen Sie mir auf Twitter: @jeremy_kirk

Treten Sie den Network World-Communitys auf Facebook und LinkedIn bei, um Kommentare zu Themen abzugeben, die im Vordergrund stehen.