Una variante recién descubierta del famoso troyano bancario Zeus aloja un código de configuración dentro de una foto digital, técnica conocida como esteganografía.

Zeus es una de las herramientas más efectivas para robar datos bancarios en línea, secuestrar credenciales de acceso a cuentas de usuario y enmascarar transferencias secretas en segundo plano.

La variante conocida como ZeusVM descarga un archivo de configuración que contiene los dominios de los bancos que serán intervenidos durante una transacción, publicó el investigador de seguridad de Malwarebytes, Jerome Segura, quién asegura que el comportamiento fue observado por primera vez por un investigador de seguridad de origen francés que escribe bajo el nombre Xylitol.

"El archivo fue recuperado de una imagen JPG alojada en el mismo servidor en donde había otros componentes del malware", escribió Segura.

La esteganografía ha sido utilizada desde hace mucho tiempo por los escritores de malware. Consta de un código malicioso embebido en un formato de archivo legítimo, lo que incrementa la posibilidad de que el nuevo archivo no sea detectado por software de seguridad.

"Desde el punto de vista de un administrador web, las imágenes parecerían inofensivas", escribió Segura.

La imagen sospechosa es mucho más grande en comparación con otra imagen idéntica en modo "mapa de bits", escribió. Los datos agregados por los ciberdelincuentes habían sido cifrados usando codificación Base64, luego RC4 y finalmente XOR; una vez que se descifra el archivo, muestra el nombre de los bancos objetivo.