In Bild vom Mond
16.06.2015, 14:56 Uhr
Stegoloader – Trojaner versteckt sich in PNG-Bild
Laufend denken sich Cyber-Kriminelle neue Tricks aus, um fremde PCs zu infizieren. Diesmal verstecken sie ihren Trojaner in einem vermeintlich harmlosen Bild.
Der Trojaner Stegoloader nutzt eine ungewöhnliche Methode, um auf einen fremden PC zu gelangen: Er versteckt sich in einem Bild. Die dabei verwendete Technik nennt sich Steganographie und wird eingesetzt, um zum Beispiel mit dem Freeware-Tool SilentEye sensible Daten vor neugierigen Augen zu verbergen. Der von Dell Secureworks entdeckte Trojaner trägt deshalb auch den Namen Stegoloader.
Zunächst infizieren die Kriminellen einen Computer mit einem Downloader, der nur einen Zweck hat: Er soll den eigentlichen Schädling herunterladen, in diesem Fall Stegoloader. Das Ungewöhnliche an diesem Trojaner ist, dass er sich in einem PNG-Bild verbirgt, das sich auf einer eigentlich seriösen Hosting-Webseite befindet. Seine Verbreitung wird dadurch deutlich leichter, weil ein vermeintlich harmloses Bild in der Regel niemanden stört.
Um es Sicherheitsexperten noch schwerer zu machen, ist Stegoloader zusätzlich per RC4 verschlüsselt. Diese Verschlüsselung gilt als nicht besonders sicher, für die Zwecke der Ganoven reicht sie jedoch offensichtlich aus.
Soweit bislang bekannt, dient Stegoloader vor allem dazu, die PC-Nutzer auszuspionieren und um Daten zu sammeln. Laut Aussage der Secureworks-Forscher wurden aber noch nicht alle Funktionen des Schädlings entdeckt und analysiert. Es ist also durchaus möglich, dass Stegoloader über weitere, noch verborgene Fähigkeiten verfügt.