TROJ_GATAK下载的图片

Stegoloader病毒正在使用“图片隐写术”肆虐全球的计算机系统，根据目前掌握的数据，其主要攻击目标是美国医疗保障公司。

隐写术：隐藏于图片中的病毒

几周前，戴尔SecureWorks的安全研究人员发现了一种新病毒，命名为Stegoloader，这款病毒会使用隐写术作为躲避杀软的方法。一旦感染了受害者的计算机，一个加载模块就会从一个正规网站加载含有恶意代码的PNG图片。FreeBuf之前也有过相关报道，点我了解更多。

Stegoloader自2012年开始出现，它被用来攻击不同行业的系统，包括医保、教育和制造业：

 “通过观察Stegoloader最近的受害者，我们发现最近3个月大部分被感染的机器来自美国(66.82%)，之后是智利(9.10%)，马来西亚(3.32%)，挪威(2.09%)和法国(1.71%)。”

攻击医保公司

安全研究人员猜测Stegoloader可能被用来攻击医保公司，黑客试图获取医疗记录。与此同时，研究人员发现了几个不同的Stegoloader，恶意软件在几个月里不断革新，但是变体中的例行程序几年了还是没有变。

受害主要是因为从第三方网站下载注册机而感染病毒的，而非钓鱼网站或钓鱼攻击工具包。

一经下载，病毒会伪装成有关Skype或Google Talk的正规文件，下载含有恶意程序的照片文件。

Stegoloader会使用多种规避手段避免被执法部门和安全厂商调查，比如它会检查它不是处在（杀毒软件的）调试环境中。

病毒样本

以下是Stegoloader病毒的一些SHA1校验值：

TROJ_GATAK.SMJV

bce6a9368f7b90caae295f1a3f4d3b55198be2e2
b8db99cf9c646bad027b34a66bb74b8b0bee295a
d5d0a9ecf1601e9e50eef6b2ad25c57b56419cd1

TROJ_GATAK.SMN

2d979739fbf4253c601aed4c92f6872885f73f77
11f25bee63a5493f5364e9578fa8db9ed4c4b9c9

* 参考来源SecurityAffairs，vulture翻译，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）