Schadsoftware Stegoloader versteckt sich in Bildern

SicherheitVirus
Malware (Bild: Shutterstock / Maksim Kabakou)

Die Stegoloader genannte Malware kursiert bereits seit 2013. Sie kann persönliche Daten wie Passwörter entwenden. Um sich einer Erkennung zu entziehen, hinterlässt Stegoloader keinerlei Informationen auf der Festplatte.

Die Counter Threat Unit (CTU) der Dell-Tochter SecureWorks hat auf eine bislang unbekannte modulare Malware hingewiesen. Sie versteckt sich und ihren Schadcode in Bildern und ist in der Lage, unter anderem Passwörter und Standortdaten zu entwenden. Der Einsatz digitaler Steganographie erschwert es Sicherheitstools, die Schadsoftware zu erkennen.

Die Stegoloader genannte Malware-Familie ist der SecureWorks zufolge seit mindestens 2013 im Umlauf. Sie wurde bisher über illegale Softwarekopien und Schlüsselgeneratoren für Kaufsoftware verbreitet. Nach der Installation lade Stegoloader ein Bild im PNG-Format von einer legitimen Website herunter und extrahiere den darin enthaltenen Code, um sein Hauptmodul auszuführen.

Weitere Module des Schadprogramms fragen die öffentliche IP-Adresse eines infizierten Rechners ab oder greifen auf die Listen der zuletzt besuchten Websites und geöffneten Dokumente zu. Das modulare Design erschwert es laut den Sicherheitsspezialisten zudem, die tatsächlichen Motive der Angreifer zu erkennen.

Bislang kam Stegoloader offenbar für Attacken auf den Gesundheits- und Bildungssektor sowie Industriebetriebe zum Einsatz. Die Forscher mutmaßen, dass es den Urhebern primär um persönliche Informationen ging, die sie für künftige Angriffe nutzen können.

Stegoloader entzieht sich sowohl einer Host- als auch einer Netzwerk-basierenden Erkennung, da die Schadsoftware keine Dateien auf der Festplatte hinterlegt und vollständig im Arbeitsspeicher ausgeführt wird. Ein solches Verhalten sei bisher nur bei den Malware-Familien Lurk und Neverquest festgestellt worden, so die Forscher.

“Stegoloader entgeht Analyse-Tools und installiert nur die notwendigen Module, ohne sie auf der Festplatte zu speichern”, erklären die Forscher in ihrem Bericht. “Es gibt wahrscheinlich mehr Stegoloader-Module, als CTU-Forscher bisher entdeckt haben. Sie werden möglicherweise von den Hintermännern benutzt, um Zugang zu weiteren Ressourcen zu erhalten.” Bisher sei Stegoloader zwar noch nicht für zielgerichtete Attacken (Advanced Persistent Threats) eingesetzt worden, die Malware besitze jedoch vielfältige Funktionen zum Diebstahl von Informationen.

stegoloader-secureworks (Bild: Dell SecureWorks)
Beispiel eines Stegoloader-Bilds mit verschlüsselten Inhalten (Bild: Dell SecureWorks)

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen