Aparece en escena un malware modular que está oculto en imágenes PNG.
Dell SecureWorks ha publicado su investigación al respecto, y demuestra el comportamiento de este malware.
El troyano se ha catalogado como perteneciente a la familia Win32/Gatak.DR (que data de finales de 2013). Según Trend Micro ha estado activo e infectando sistemas médicos y financieros (entre otros). Estados Unidos es uno de los países más afectados con 2 de cada 3 infecciones.
¿Cómo funciona el malware?
Se ha constatado que los responsables de Stegoloader utilizan la esteganografia (básicamente es una técnica de ocultar mensajes u objetos, dentro de otros) para incluir el troyano en imágenes del tipo PNG. Hay un módulo inicial, que una vez implementado descargará el módulo principal, previo estudio de diversos hábitos del usuario o que medidas de protección están presentes en el equipo de la víctima. Como consecuencia de estas dos capacidades (esteganografía y modulación), resulta difícil de detectar.
El troyano puede ser descargado desde Internet al usar generadores de passwords o activadores, luego se ocultará como software legítimo. Al acceder a las imágenes png manipuladas estará operativo al 100% y activo en memoria. Desde ese momento será capaz de robar toda clase de información, e incluso instalar nuevos módulos para acceder a aquello que se le resista.
Moraleja: ¿Generadores de passwords? ¿Activadores? No descargar software poco fiable con procedencia dudosa. En cualquier caso, si existen sospechas de infección tendremos que vigilar los procesos que operan en memoria. Finalmente si se usa Windows la opción de un antivirus actualizado no está de más. Obviamente, la primera medida impedirá la mayoría de las infecciones.
En fin, be careful my friend.
