instituto

internacional de
seguridad
ciberntica
Malware Steglaoder
soluciones de seguridad
informtica

Qu es el malware Stegloader
Stegoloader tiene un diseo modular y utiliza
esteganografa digital para ocultar el cdigo de su
mdulo principal en una imagen de Portable
Network Graphics (PNG). El malware descarga
mdulo de Stegoloader y lanza el mdulo principal
y no tiene persistencia. Antes de implementar otros
mdulos, el malware revisa que no est
ejecutando en un entorno de anlisis.
mencionan expertos de soluciones de seguridad
informtica .

El malware Stegloader
Dicen expertos de soluciones de seguridad
informtica que en otro esfuerzo para reducir la
velocidad de anlisis esttico, la mayora de las
cadenas que se encuentran en el binario se
construyen en stack del programa antes de ser
utilizados. Esta tcnica de malware asegura que
las cadenas no se almacenan en texto claro en el
interior del cuerpo de malware sino que se
construyen de forma dinmica, lo que complica la
deteccin y el anlisis.

Como Funciona
Antes de ejecutar su funcin principal, Stegoloader
enumera los procesos que se ejecutan en el
sistema y termina si un nombre de proceso
contiene nombre de la herramienta de seguridad.
El mdulo de despliegue obtiene una imagen PNG
de un alojamiento de sitios web legtimos. La URL
de la imagen est codificada en el binario.
Despus de descargar la imagen, Stegoloader
utiliza la funcin gdiplus para descomprimir la
imagen, acceder a cada pixel, y extraer el bit
menos significativo del color de cada pixel. explica
profesor de curso de seguridad en redes.

Como Funciona
Expertos de curso de seguridad en redes dicen que
el flujo de datos extrados se descifra utilizando el
algoritmo RC4 y una llave codificada. Ni la imagen
PNG ni el cdigo de descifrado se guardan en el
disco, por lo que es difcil encontrar el malware a
travs de la firma de anlisis tradicional basado en
disco. Despus de que el mdulo principal
Stegoloader se descarga y se descifra, la ejecucin
manda el mdulo despliegue en el mdulo
principal, que reside en un rea de memoria que
se ha asignado para este fin.

Como Funciona
El mdulo de despliegue es latente hasta que el
mdulo principal termine de ejecutarse. Cuando el
mdulo principal termina, el mdulo de despliegue
enva un ltimo informe a su servidor C2 indica el
mdulo principal ha terminado, y entonces
tambin termina segn capitacin de anlisis
informtica forense . La familia de malware
Stegoloader (tambin conocido como Win32 /
Gatak.DR y TSPY_GATAK.GTK a pesar de no
compartir cualquier similitud con el troyano
bancario Gataka)

CONTACTO

w w w. i i c y b e r s e c u r i t y. c o m

538 Homero # 303

Polanco, Mxico D.F 11570
Mxico
Mxico Tel: (55) 9183-5420
633 West Germantown Pike #272
Plymouth Meeting, PA 19462
United States
Sixth Floor, Aggarwal Cyber Tower 1
Netaji Subhash Place, Delhi NCR, 110034
India
India Tel: +91 11 4556 6845