美國醫療機構受Stegoloader木馬影響最為嚴重
根據觀察,大多數Stegoloader木馬(最近活躍在新聞上)的受害者都來自北美的醫療機構。這被稱為TROJ_GATAK的惡意軟體自2012年起就一直活躍著,利用圖像隱碼術(Steganography)來將組件藏在PNG檔內。
縱觀近來的Stegoloader惡意軟體受害者,在過去三個月內所看到的大多數受感染電腦都來自美國(66.82%),其次是智利(9.10%)、馬來西亞(3.32%)、挪威(2.09%)及法國(1.71%)。
在同一期間,受到影響最大的產業是醫療保健、金融和製造業。
圖1、過去三個月內各產業的TROJ_GATAK感染程度
值得注意的是,所有受此惡意軟體影響的醫療機構都來自北美。趨勢科技的研究人員目前正在研究網路犯罪分子如何去利用這狀況來進行有組織的攻擊,雖然還在尋找證據中。
最近有幾起成功的資料外洩事件洩漏了數百萬筆醫療機構的客戶資料,像是Anthem和Premera Blue Cross。雖然才出現在攻擊中,圖像隱碼術(Steganography)可能成為未來網路犯罪分子攻擊醫療機構時外洩醫療紀錄的新技術。
資料隱匿技術,間諜用圖片
在之前關於圖像隱碼術(Steganography)(Steganography)和惡意軟體的文章中,我們指出在圖片檔中嵌入惡意程式碼以躲避偵測的技術會變得更加普及,特別是有著勤奮的惡意軟體團體存在。
TROJ_GATAK的再度出現及其明顯針對某些地區和產業顯示出網路犯罪分子在持續地試驗資料隱匿技術(Steganography)的創意用途以擴散威脅。
當趨勢科技在2014年1月第一次於部落格中提到此惡意軟體時,TROJ_GATAK.FCK變種捆綁著各種應用程式的金鑰產生器,而最終會帶來假防毒軟體。
而這惡意軟體最新的三個樣本最終會帶來TROJ_GATAK.SMJV、TROJ_GATAK.SMN和TROJ_GATAK.SMP(在分析中)。
要注意的是,這變種在過去幾年的行為保持不變。該惡意軟體被相信其為金鑰產生器或註冊機的使用者從網路上下載。一旦下載,它偽裝成跟Skype或Google Talk相關的正常檔案。最終會下載照片,嵌入了其大部分的功能。以下是惡意軟體用來嵌入惡意組件的照片樣本:
圖2、TROJ_GATAK所下載的圖片樣本
這惡意軟體具備防虛擬機器和防模擬功能,讓它可以避免被分析。 繼續閱讀
