Zeus banking malware ligger i en afgørende fil på et foto

En nyligt opdaget variant af den berygtede Zeus-bank-trojan forklarer en vigtig konfigurationskode på et digitalt foto, en teknik kendt som steganography.

Zeus er et af de mest effektive værktøjer til at stjæle online bankoplysninger, kapre loginoplysninger, når en person får adgang til sin konto og maskerer hemmelige overførsler i baggrunden.

Varianten, kaldet ZeusVM, downloader en konfigurationsfil, der indeholder domænerne til banker, som malware er instrueret om at gribe ind i under en transaktion, skrev Jerome Segura, en senior sikkerhedsforsker i Malwarebytes. Han skrev, at adfærden først blev bemærket af en fransk sikkerhedsforsker, der skriver under navnet Xylitol.

"Malware hentede et jpg-billede, der er vært på den samme server som andre malware-komponenter," skrev Segura.

Steganografi er længe blevet brugt af forfattere af ondsindet software. Ved at indlejre kode i et filformat, der ser legitim ud, er der en chance for, at filen får et grønt lys af sikkerhedssoftware.

"Fra et webmaster-synspunkt ville billeder (især dem, der kan ses) virke ufarlige," skrev Segura.

Det mistænkte billede ser ud til at være meget større sammenlignet med en identisk i bitmap-tilstand, skrev han. Data tilføjet af cyberkriminelle var blevet krypteret ved hjælp af Base64-kodning og derefter RC4 og XOR-krypteringsalgoritmer.

Når de dekrypteres, viser filen de målrettede banker, herunder Deutsche Bank, Wells Fargo og Barclays.

Send nyhedstips og kommentarer til [email protected] Følg mig på Twitter: @jeremy_kirk

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.