Zeus banking malware ligger i en avgörande fil på ett foto

En nyupptäckt variant av den beryktade Zeus-bank-trojanen döljer en avgörande konfigurationskod i ett digitalt foto, en teknik som kallas steganography.

Zeus är ett av de mest effektiva verktygen för att stjäla bankbankinformation, kapa inloggningsuppgifter när en person kommer åt sitt konto och maskerar hemliga överföringar i bakgrunden.

Varianten, kallad ZeusVM, laddar ner en konfigurationsfil som innehåller domänerna för banker som skadlig programvara instrueras att ingripa i under en transaktion, skrev Jerome Segura, en senior säkerhetsforskare med Malwarebytes. Han skrev att beteendet först märktes av en fransk säkerhetsforskare som skriver under namnet Xylitol.

"Malware hämtar en jpg-bild som var värd på samma server som andra skadliga komponenter," skrev Segura.

Steganografi har länge använts av författare av skadlig programvara. Genom att bädda in kod i ett filformat som ser ut som legitimt finns det en chans att filen kommer att få grönt ljus av säkerhetsprogramvara.

"Ur en webbansvarlig synvinkel skulle bilder (särskilt bilder som kan visas) verkar ofarliga", skrev Segura.

Den misstänkta bilden verkar vara mycket större jämfört med en identisk i bitmappsläge, skrev han. Uppgifterna som lagts till av cyberbrottslingarna hade krypterats med hjälp av Base64-kodning och sedan RC4- och XOR-krypteringsalgoritmer.

När de dekrypteras visar filen riktade banker, inklusive Deutsche Bank, Wells Fargo och Barclays.

Skicka nyhetstips och kommentarer till [email protected] Följ mig på Twitter: @jeremy_kirk

Gå med i nätverkets världssamhällen på Facebook och LinkedIn för att kommentera ämnen som är övertygade.