Versteckt in aller Öffentlichkeit: Wie Malware mit Hilfe von Steganografie in Bildern verborgen werden kann?

In der Cybersicherheit entwickeln Angreifer ständig neue Methoden, um bösartigen Code in Dateien zu verbergen. Eine solche Methode ist die Steganographie, die Praxis, geheime Informationen in einer gewöhnlichen, nicht geheimen Nachricht oder Datei zu verstecken. Im Kontext digitaler Bilder beinhaltet die Steganographie das Einbetten geheimer Daten in die Pixel eines Bildes, ohne dessen visuelles Erscheinungsbild zu beeinflussen.

Obwohl Steganographie für legitime Zwecke verwendet werden kann, wie zum Beispiel zum Schutz sensibler Informationen, kann sie auch von Angreifern genutzt werden, um Malware in scheinbar harmlosen Dateien zu verstecken. Durch Steganographie in Bildern verborgene Malware kann die Erkennung durch herkömmliche Antivirensoftware umgehen, was sie zu einem effektiven Werkzeug für Angreifer macht.

Um Malware in einem Bild mit Steganographie-Techniken zu verbergen, folgen Angreifer in der Regel diesen Schritten:

1. Auswahl einer Bilddatei: Angreifer wählen in der Regel ein gängiges Bildformat wie JPEG, PNG oder BMP als Trägerdatei für ihre Malware. Die ausgewählte Datei sollte ausreichend sein, um die Malware-Last ohne signifikante Beeinträchtigung der Dateigröße oder des visuellen Erscheinungsbildes aufzunehmen.
2. Erstellung einer Malware-Last: Die Malware-Last ist der Code oder die Daten, die der Angreifer in dem Bild verstecken möchte. Die Last kann jede Art von Malware sein, wie ein Virus, Trojaner oder Backdoor.
3. Kodierung der Last: Die Last wird dann mit Steganographie-Techniken kodiert, um eine neue Bilddatei zu erstellen. Die Last wird in das Bild eingebettet, indem die am wenigsten signifikanten Bits der Pixelwerte modifiziert werden. Da die Modifikationen gering sind und die Gesamtfarbwerte der Pixel nicht signifikant beeinflusst werden, kann das menschliche Auge keine Änderungen im Bild erkennen.
4. Verteilung des Bildes: Der Angreifer verteilt dann die Bilddatei, die die versteckte Malware enthält, über verschiedene Kanäle wie E-Mail, soziale Medien oder bösartige Websites. Sobald die Bilddatei heruntergeladen und geöffnet wird, kann die versteckte Malware-Last ausgeführt werden und potenziell Schaden am System des Opfers verursachen.

Die Erkennung von Steganographie ist für Anti-Malware-Tools schwierig, da die an einem Bild vorgenommenen Modifikationen so gering sind. Darüber hinaus treten Steganographie-Angriffe in der Regel als Zero-Day-Bedrohungen auf, was die Erkennung noch herausfordernder macht.
Ein Beispiel für Malware, die Steganographie verwendet, ist LokiBot, der sensible Informationen wie Benutzernamen, Passwörter und Kryptowährungs-Wallets stiehlt. LokiBot installiert sich als .jpg und .exe Datei, wobei die .jpg Datei die für die Implementierung benötigten Daten freischaltet.
 

Neue LokiBot-Malware-Variante verwendet Steganographie, um ihren Code zu verbergen
LokiBot, eine Malware-Familie, die zunächst für das Stehlen von Informationen und Keylogging bekannt war, wurde mit neuen Fähigkeiten aktualisiert, um ihre Erkennung zu verbessern. Eine kürzliche Analyse einer neuen LokiBot-Variante durch Trend Micro Research ergab, dass die Malware nun Steganographie einsetzt. Diese Technik ermöglicht es ihr, ihren Code in einer Bilddatei zu verbergen. Die Malware verwendet auch einen aktualisierten Persistenzmechanismus und Spam-Mails mit bösartigen ISO-Dateianhängen zur Auslieferung.

Zum Beispiel entdeckte Trend Micro die neue LokiBot-Variante, als ein südostasiatisches Unternehmen, das den Managed Detection and Response Service des