تهدید سایبری در قالب PNG
به تازگی محققین کشف کرده اند خانوادهای از بدافزارها که از سال 2012 به این طرف فعالیت خود را آغاز کرده از فایلهای PNG برای پنهان کردن مولفه اصلیشان برای سرقت دادهها در برابر چشمان محققین حوزه امنیت اطلاعات و مدیران سیستم استفاده میکردند.
طبق پست وب لاگ روز دوشنبه واحد ضد تهدید (CTU) از «Dell Secure Works»، بدافزار «Stegoloader» که ذیل «Win32/Gatak.Dr» و «TSPY GATAk.GTK» قابل شناسایی بوده از خود گرایش نوظهوری را در حوزه بدافزارها نشان داده است: این بدافزار از پنهان نگاری دیجیتال برای پنهان کردن کد مخرب خود استفاده میکند.
در آوریل 2014، واحد ضد تهدید (CTU) برنامه دانلودی بنام Lurk را کشف کرده که از این تکنیک نفوذ استفاده میکند؛ و به گفته واحد ضد تهدید (CTU) از «Dell Secure Works»، سال گذشته یک گونه از بدافزار «Neverquest» از فایلهای PNG برای پنهان ماندن استفاده کرده است. در فوریه 2014، «Malwarebytes» و «Xyliton» طی همکاری مشترکی یافتههای خود را پیرامون گونه جدید Zeus که از پنهان نگاری برای پنهان کردن کد بدافزار در تصاویر JPG استفاده کرده منتشر نمودند.
محققان «Dell SecureWorks» آشکار ساختند که در این مدت هکرها با تکیه بر «Stegoloader» سازمانهای حوزه بهداشت و درمان، آموزش و پرورش و تولید را در ایالات متحده و خارج از کشور هدف قرار داده اند.
در مصاحبه روز چهارشنبه با SCMagazine.com، پیر مارک بورئو محقق ارشد امنیت اطلاعات واحد ضد تهدید گفته است که از آنجاییکه سیستمهای کشف نفوذ (IDS) و سیستمهای جلوگیری از نفوذ (IPS) سنتی از سازماندهی لازم برای جستجوی کد مخرب در فایلهای تصویری برخوردار نیستند، برای چهار ماه از تایید کشف اخیر راجع به «Stegoloader» سرباز زده اند. بعلاوه، مولفه اصلی این بدافزار یعنی ماژول سرقت اطلاعات آن در فایل PNG پنهان شده که یک وب سایت قانونی آن را میزبانی میکرد.
عیلرغم عدم دسترسی محققین واحد ضد تهدید به سرور کنترل و فرمان این بدافزار، ولی حداقل هفت سازمان آلوده به این بدافزار را کشف کرده اند. به گفته بورئو طی چندین سال گذشته، 28 گونه از «Stegoloader» کشف شده است.
به اعتقاد وی، صدها نمونه بدافزار وجود داشته که طی چند سال گذشته روی «VirusTotal» بارگذاری شده اند. متاسفانه تعیین تعداد قربانیان بسیار دشوار است. از طرفی این بدافزار 28 بار تاکنون تغییر کرده است.
براساس پست وبلاگ واحد ضد تهدید، بجای انتشار از طرق معمول همانند فیشینگ یا سوء استفاده از حملات کیت، بدافزار «Stegoloader» از طریق وب سایت عرضه غیر مجاز نرمافزار و به همراه ابزارهای تولید کد انتشار مییابد. تیم تحقیق ماژولهای مخرب این بدافزار را مورد بررسی قرار داده و ماژولهایی را کشف کرده که دادههای مکان جغرافیایی، تاریخچه مرورگر، کلمات عبور و فهرست اسناد باز اخیر قربانیان را جمع آوری میکنند. «Stegoloader» همچنین ماژول سرقت IDA نیز دارد، که نمونههای نصب شده نرمافزار IDA را سرقت میکند؛ این نرمافزار معمولاً توسط محققین بدافزار برای تحلیل تهدیدها مورد استفاده قرار میگیرد.
