Zbot nutzt Fotos zur Aktualisierung der Malware
Hacker geben Befehle an die mit Zbot infizierten Geräte weiter, indem sie bekannte Bilder von Sonnenuntergängen und Katzen nutzen. Dies fand die Sicherheitsfirma Trend Micro heraus. Jennifer Gumban, Ingenieur bei Trend Micro, berichtete über die Hackerkampagne in einem Blogpost. Das Ziel seien verschiedene Europäische Bankkunden.
„Wir fanden ein Bild von einem Sonnenuntergang, andere Sicherheitsforscher berichteten von Katzenbildern“,
so heißt es im Blogbeitrag.
„Unter Nutzung von Steganographie verbirgt sich eine Liste von Banken und Finanzinstitutionen, die überwacht werden sollen, in den Bildern. Die Liste beinhaltet Institutionen weltweit, vor allem aber in Europa und dem Nahen Osten.“
Die Bilder können sich über verschiedene Wege verbreiten. Sie können als einzelne bösartige Dateien verteilt werden, die den infizierten Maschinen Befehle übermitteln. Oder sie sind in Webseiten integriert und befallen automatisch Besucher dieser Seite.
Der Vizepräsident der Sicherheitsforschung bei Trend Micro, Rik Ferguson, berichtet, dass die Hacker durch diese Art des Versteckens der Schadsoftware normale Sicherheitsanwendungen austricksen können.
„Es gibt eine Reihe guter Gründe, sie in diesem Format auszuliefern. Zunächst sind solche Dateien normalerweise nicht in den Virenscans der gängigen Anwendungen beinhaltet. Außerdem wirken sie sowohl für das bloße Auge als auch für Netzwerk-Überwachungssysteme ungefährlich.“
Gumban findet die Kampagne ungewöhnlich, da sie auf Systeme abzielt, die mit der finanz-fokussierten Malware Zbot infiziert sind. Noch etwas ist seltsam:
„Sie lädt auf das System noch weitere Malware namens TROJ_FOIDAN.AX. Dieser Trojaner entfernt den http-Kopf der X-Frames-Optionen von Seiten, die der Nutzer besucht, sodass die Webseiten in einem Frame dargestellt werden. Zbot war in der Vergangenheit nicht mit Clickjacking verbunden. Nun aber hat es sich mit anderen Bedrohungen verknüpft, wie Ransomware.“
Artikel von 03.03.2014: Hackers spreading Zbot malware using cat and sunset pictures
Artikel von csoonline.com, 03.03.2014: Criminals using steganography tricks to manage ZBOT attacks