Stegoloader utiliza técnicas digitales de esteganografía para colarse en ordenadores y redes de defensa. Su origen data de 2012, pero ha resurgido en los últimos meses.
También te puede interesar:
- El troyano Podec engaña a los sistemas Android
- El aumento del malware DYRE afecta directamente a España
- Amazon-Gift, el troyano que te puede infectar vía WhatsApp
- Chthonic, la nueva cepa del troyano ZeuS
- 3 de cada 4 empresas no alcanzan un nivel de madurez suficiente en seguridad
Según un estudio reciente de Dell SecureWorks, el troyano Stegoloader está diseñado para robar archivos, información y contraseñas de los sistemas infectados, pero tiene módulos adicionales que amplían su funcionalidad. Durante el proceso de infección, un componente de despliegue temporal descarga un archivo PNG desde Internet. Este es un archivo de imagen funcional, pero escondido en su interior hay pequeños fragmentos de código cifrado que son extraidos y se utilizan para reconstruir el módulo principal del troyano. Ni la imagen PNG o el módulo principal del troyano son guardados en el disco. Todo el proceso sucede en la memoria del ordenador y el troyano se carga directamente ahí.
La técnica de utilizar componentes sin archivo está siendo cada vez más utilizada por los autores de malware, incluso por grupos de ciberespionaje. Hace que las amenazas de malware sean mucho más difíciles de detectar e investigar. Usar la de la esteganografía digital para ocultar código malicioso tampoco es algo nuevo, pero es una técnica cada vez más utilizada. El objetivo es evitar los escáneres de malware a nivel de red, que inspeccionan el contenido que entra y sale de esta.
Según las estadísticas recientes de Trend Micro, en los tres últimos meses se han detectado infecciones po Stegoloader en organizaciones relacionadas con la Sanidad, las finanzas y fábricas. Más de un 66% corresponden a víctimas de los EEUU.
